Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

jjdrive32.exe+Win32.HHLW.Lime, Win32.Polipos (заявка № 71745)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25

    Question jjdrive32.exe+Win32.HHLW.Lime, Win32.Polipos

    здравствуйте

    в процессах при включении компа появились процессы cmd.exe, ufdmng.exe, wmfcgr.exe, которые вместе или по отдельности на 100% грузили систему, а так же процесс jjdrive32.exe, который препятствовал обычной работе в Сети (не запускаются приложения, не загружаются страницы в браузере)
    при сканировании системы утилитой cureIt обнаружен Win32.Polipos

    последующая переустановка винды с форматированием диска с системой результатов не дала. + cureit выявил Win32.HLLW.Lime 8
    Win32.HLLW.Lime 18, Win32.HLLW.Lime 187

    спасибо)
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\recycler\s-1-5-21-4119210516-7111537165-296655910-0134\sysdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
     QuarantineFile('C:\DOCUME~1\nishe\LOCALS~1\Temp\Yj2N48c4.sys','');
     DeleteFile('C:\DOCUME~1\nishe\LOCALS~1\Temp\Yj2N48c4.sys');
     DeleteFile('c:\recycler\s-1-5-21-4119210516-7111537165-296655910-0134\sysdrv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    новые логи.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
     TerminateProcessByName('c:\windows\jjdrive32.exe');
     QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6371368565-2275362123-336000564-0871\wmfcgr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
     QuarantineFile('c:\windows\jjdrive32.exe','');
     DeleteFile('c:\windows\jjdrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
     DeleteFile('C:\RECYCLER\S-1-5-21-6371368565-2275362123-336000564-0871\wmfcgr.exe');
     DeleteFile('C:\WINDOWS\jjdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
    BC_ImportAll;
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    логи
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\WINDOWS\system32\ufdmgr.exe -пришлите согласно приложения 2 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    отправила.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\ufdmgr.exe');
     DeleteFile('c:\windows\system32\ufdmgr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','f2b');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    логи.

    кстати, в папке систем32 множество файлов 12.exe.....99.exe.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe,C:\RECYCLER\S-1-5-21-6811611180-7805190793-426273415-5642\sysdrv.exe,C:\RECYCLER\S-1-5-21-0842421000-3035378886-032810802-0327\sysdrv.exe,C:\RECYCLER\S-1-5-21-6252212843-6594594426-714549781-8171\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
     QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
     DeleteFile('C:\WINDOWS\jjdrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-7858100708-6060318237-493426983-4787\wmfcgr.exe,C:\RECYCLER\S-1-5-21-6811611180-7805190793-426273415-5642\sysdrv.exe,C:\RECYCLER\S-1-5-21-0842421000-3035378886-032810802-0327\sysdrv.exe,C:\RECYCLER\S-1-5-21-6252212843-6594594426-714549781-8171\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe');
     DeleteFile('c:\windows\jjdrive32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  12. #11
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    новые логи
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сделайте полную проверку cureit в safe mode затем новые логи

  14. #13
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    ?? при загрузке системы проводник автоматически начал открывать "мои документы" (восстановление окон при старте отключено)



    новые логи.
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    снова в процессах появились jjdrive и ufdmng


    плюс к ним upd32.exe и avsys.exe

    Добавлено через 7 часов 19 минут

    так. теперь посканила avz.
    ко всему прочему обнаружился P2P-Worm.Win32.Palevo.rmm
    Последний раз редактировалось nishe; 22.02.2010 в 01:53. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    просканировала еще раз.
    новые логи.
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    C:\WINDOWS\system32\shmgrate.exe - пришлите соглсно приложения 2 правил

  18. #17
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    отправлено.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('TlntSvr');
     DelBHO('{e2e2dd38-d088-4134-82b7-f2ba38496583}');
     DeleteFile('C:\WINDOWS\Network Diagnostic\xpnetdiag.exe');
     DeleteFile('C:\WINDOWS\system32\shmgrate.exe');
     DeleteFile('C:\WINDOWS\system32\progman.exe');
     DeleteFile('C:\WINDOWS\system32\tlntsvr.exe');
     DeleteFile('C:\WINDOWS\system32\cmd.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  20. #19
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    17
    Вес репутации
    25
    логи
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    DelCLSID('881dd1c5-3dcf-431b-b061-f3f88e8be88a');
    DelCLSID('26923b43-4d38-484f-9b9e-de460746276c');
     DeleteFile('C:\WINDOWS\system32\shmgrate.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    virusinfo_syscheck.zip повторите

  • Уважаемый(ая) nishe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Polipos
      От tasohell в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.04.2010, 17:10
    2. Win32.Polipos + еще какие-то троянчики
      От greeny в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.03.2010, 14:56
    3. Win32.HHLW.Autoruner.3438
      От Rogoff в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:57
    4. Win32.Polipos
      От Psilo в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.11.2007, 22:40
    5. Вирус Win32.Polipos
      От Синауридзе Александр в разделе Вредоносные программы
      Ответов: 145
      Последнее сообщение: 05.05.2006, 14:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01229 seconds with 21 queries