jodrive32.exe

Printable View

20.06.2011, 09:02
Nexelx

Вложений: 3

jodrive32.exe

Добрый день. Начали выползать какие то левые уведомления при загрузке системы. Обычно 3-4 сообщения о том что не удалось открыть файлы (Расширение .tmp) Переодически появляются процессы с похожими названиями как и у файлов (1cf,ae5 итд.) Так же с загрузкой появляется окошко восстановления (как из корзины) некого файла: vsbntlo,тип - приложение. В процессах висит jodrive32.exe. Касперский и dr.web cureit не помогают.
20.06.2011, 09:03
Info_bot

Уважаемый(ая) [B]Nexelx[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
20.06.2011, 15:50
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\xsdll.exe','');
QuarantineFile('C:\Windows\system32\bsysmgr.exe','');
QuarantineFile('C:\Windows\jodrive32.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\AE5.tmp','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\8445.tmp','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\1CF.tmp','');
QuarantineFile('C:\Users\1\AppData\Roaming\C9C6.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\Windows\system32\drivers\zneuocys.sys','');
DeleteService('zneuocys');
QuarantineFile('c:\windows\jodrive32.exe','');
TerminateProcessByName('c:\windows\jodrive32.exe');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\Windows\system32\drivers\zneuocys.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\Users\1\AppData\Roaming\C9C6.tmp');
DeleteFile('C:\Users\Илья\AppData\Roaming\1CF.tmp');
DeleteFile('C:\Users\Илья\AppData\Roaming\8445.tmp');
DeleteFile('C:\Users\Илья\AppData\Roaming\AE5.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','name_me');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','exing');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eeexixx');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','aexi');
DeleteFile('C:\Windows\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\Windows\system32\bsysmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr');
DeleteFile('C:\Windows\xsdll.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
20.06.2011, 17:12
Nexelx

Никаких окон при загрузке больше не появилось.
Карантин закинул. Вот логи:
20.06.2011, 18:26
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Users\Илья\AppData\Roaming\Dcwqwt.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\Users\Илья\AppData\Roaming\Dcwqwt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dcwqwt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
20.06.2011, 21:31
Nexelx

[ATTACH]316559[/ATTACH] Все сделал.
21.06.2011, 00:55
миднайт

pctools удалите. Что с проблемой?
21.06.2011, 02:11
Nexelx

Удалил уже) Спасибо большое проблема решена. (Ну по крайней мере окна не появляются, процесс jodrive32.exe тоже.)
22.06.2011, 02:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Trojan.Win32.Scar.eblh[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6217743, AVAST4: Win32:Downloader-IAS [Trj] )[*] c:\\users\\илья\\appdata\\roaming\\ae5.tmp - [B]Trojan-Dropper.Win32.Agent.eyfc[/B] ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.6161608, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\users\\илья\\appdata\\roaming\\1cf.tmp - [B]Trojan.Win32.Inject.bdqm[/B] ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.6161608, NOD32: Win32/TrojanDownloader.Small.OAA trojan, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\users\\илья\\appdata\\roaming\\8445.tmp - [B]HEUR:Trojan-Downloader.Win32.Generic[/B] ( DrWEB: Trojan.DownLoader3.36426, BitDefender: Gen:Trojan.Downloader.buY@aC0xrxi, AVAST4: Win32:Malware-gen )[*] c:\\users\\1\\appdata\\roaming\\c9c6.tmp - [B]Trojan.Win32.Inject.bdle[/B] ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.6161608, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\jodrive32.exe - [B]Trojan.Win32.Diple.qna[/B] ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6202120, AVAST4: Win32:Kryptik-DAR [Trj] )[*] c:\\windows\\system32\\bsysmgr.exe - [B]P2P-Worm.Win32.Palevo.drqu[/B] ( DrWEB: Trojan.AVKill.9382, BitDefender: Backdoor.Generic.668744, NOD32: Win32/TrojanClicker.VB.NUA trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\xsdll.exe - [B]Trojan.Win32.Inject.besl[/B] ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, NOD32: Win32/TrojanDownloader.VB.PFX trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]