jodrave32.exe

Printable View

30.05.2011, 13:19
peering

jodrave32.exe

Вирь попал с флешки, тупит инет помогите[U][/U]
30.05.2011, 13:20
Info_bot

Уважаемый(ая) [B]peering[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
30.05.2011, 13:22
Acidorum

Добрый день.
[QUOTE]Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и переделайте логи.
30.05.2011, 14:11
peering

выложил
30.05.2011, 14:17
Acidorum

Отключите:
-Все защитные приложения
-ПК от интернета
-Восстановление системы
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\jodrive32.exe');
QuarantineFile('C:\WINDOWS\system32\27.exe','');
QuarantineFile('C:\Documents and Settings\xxx\Application Data\Ppcccr.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Ppcccr.exe','');
QuarantineFile('c:\windows\jodrive32.exe','');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Ppcccr.exe');
DeleteFile('C:\Documents and Settings\xxx\Application Data\Ppcccr.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','Ppcccr');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','Ppcccr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ppcccr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
30.05.2011, 15:21
peering

сообщение нода пропало, но интернет всё равно тормозит
30.05.2011, 17:03
Acidorum

Чисто, только установите [URL="http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8"]Internet Explorer 8[/URL].
[QUOTE='peering;793329']но интернет всё равно тормозит[/QUOTE]
Прокси сами ставили?
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:3128[/CODE]
30.05.2011, 19:13
peering

Да спасибо, все заработало был косяк я скрипты под доменным пользователем делал вирь под нним удалился, пока не зашёл под обычным пользователем и не поправил имя в пути.
Вопрос на засыпку, у меня 80 компов вирь непонятным образом расползаеться по тачкам, и где есть администратора прова и где обычного пользователя. Как мне защитить, nod32 стоит обновляется, фаервол срого настроен, заметил что win7 более устойчивы чем XP.
Уже думал мож из за административных ресурсов C$ D$ Дайте совет а то с работы уволят.
За ранее извиняюсь правила читал но: у меня уже 15 компов заражены данным вирем, будет ли эффективен данный скрип, если я путь и имя пользователя менять буду. Или посоветуйте что делать ????
30.05.2011, 19:25
Acidorum

[QUOTE='peering;793386']если я путь и имя пользователя менять буду.[/QUOTE]
Нет, на каждой машине должны быть сняты отдельные логи и составлен отдельный скрипт.
31.05.2011, 19:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice\\application data\\ppcccr.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Dorkbot [Wrm] )[*] c:\\documents and settings\\xxx\\application data\\ppcccr.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Dorkbot [Wrm] )[*] c:\\windows\\jodrive32.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dorkbot [Wrm] )[*] c:\\windows\\system32\\27.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dorkbot [Wrm] )[/LIST][/LIST]