Не понятный файл ywdrive32.exe грузит систему [Trojan.Win32.Jorik.Steckt.bb, Trojan-Downloader.Win32.Andromeda.exj ]

Не понятный файл ywdrive32.exe грузит систему и очень тормозит интернет. В Admin\Application Data постоянно появляются левые .exe типа 1.exe, 2.exe, c.exe и т. д. Простое удалени не помогает снова все появляется после перезагрузки

Уважаемый(ая) [B]MARKSIST[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[FONT=Century Gothic][COLOR="#ff3333"][SIZE=3]> Выполните скрипт в AVZ:[/SIZE][/COLOR][/FONT]

[CODE]
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
TerminateProcessByName('c:\windows\system32\msprxysvc32.exe');
TerminateProcessByName('c:\windows\ywdrive32.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\1.exe');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\83.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
QuarantineFile('C:\WINDOWS\system32\51.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\WINDOWS\ywdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msprxysvc32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12689\w7fiv172.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12349\wfiv12.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Zqbqbp.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\1.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Zqbqbp.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zqbqbp');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12349\wfiv12.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12689\w7fiv172.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','w7fie172');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wfi72');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wi68');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepro0xz');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepdro0xz');
DeleteFile('C:\WINDOWS\system32\msprxysvc32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Proxy Service');
DeleteFile('C:\WINDOWS\ywdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\83.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
ExecuteWizard('TSW',2,2,true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер будет перезагружен.

> Используйте ссылку "[B]Прислать запрошенный карантин[/B]", которая находится над первым сообщением этой темы, чтобы прислать [B]quarantine.zip[/B].

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

+ отчет [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL] и [URL="http://virusinfo.info/showthread.php?t=133191"]Norton Power Eraser[/URL].
[COLOR="#ff3333"]_________________[/COLOR]
[SIZE=1][URL="http://virusinfo.info/showthread.php?t=7239"]> как выполнить скрипт в AVZ[/URL][/SIZE]

Файлы

Лечим компьютер таким образом [url]http://support.kaspersky.ru/wks6mp3/error?qid=208636215[/url], после лечения Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][B]Gmer[/B][/URL] + Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\microsoft\\zqbqbp.exe - [B]Backdoor.Win32.Ruskill.qej[/B] ( DrWEB: BackDoor.Andromeda.139, BitDefender: Trojan.Generic.KD.837459, AVAST4: Win32:LockScreen-QS [Trj] )[*] c:\\documents and settings\\admin\\application data\\1.exe - [B]Trojan.Win32.Jorik.Tedroo.cjy[/B] ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Trojan.Generic.KD.827479, NOD32: Win32/SpamTool.Tedroo.AQ trojan, AVAST4: Win32:Jorik-SI [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-106669\\w68v12.exe - [B]Trojan.Win32.Jorik.Nrgbot.ene[/B] ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-12349\\wfiv12.exe - [B]Trojan-Downloader.Win32.Andromeda.ebj[/B] ( DrWEB: Trojan.Packed.23511, BitDefender: Trojan.Generic.8179118, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Downloader-RKM [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-12689\\w7fiv172.exe - [B]Trojan-Downloader.Win32.Andromeda.ebj[/B] ( DrWEB: Trojan.Packed.23511, BitDefender: Trojan.Generic.8179118, AVAST4: Win32:Downloader-RKM [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-46689\\24naq.exe - [B]Trojan.Win32.Jorik.IRCbot.wdk[/B] ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-917678\\nepro0xz.exe - [B]Trojan.Win32.Jorik.IRCbot.wdk[/B] ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-91768\\nedpro0xz.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Win32.HLLW.Autoruner1.33124, BitDefender: Gen:Win32.ExplorerHijack.amW@aeK05dj, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\msprxysvc32.exe - [B]Packed.Win32.Klone.bz[/B] ( DrWEB: BackDoor.IRC.Rxbot.64, BitDefender: DeepScan:Generic.Sdbot.FD3DE875, AVAST4: Win32:Rbot-GQO [Trj] )[*] c:\\windows\\system32\\00.exe - [B]Trojan.Win32.Jorik.Steckt.bb[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\01.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\02.exe - [B]Trojan.Win32.Jorik.Steckt.bb[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\04.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\06.exe - [B]Trojan-Downloader.Win32.Andromeda.exj[/B] ( DrWEB: BackDoor.HostBooter.3, BitDefender: Trojan.Generic.KDV.801803, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\12.exe - [B]Trojan.Win32.Jorik.IRCbot.vnv[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.801327, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QCG [Trj] )[*] c:\\windows\\system32\\15.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\21.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\25.exe - [B]Trojan-Downloader.Win32.Andromeda.exj[/B] ( DrWEB: BackDoor.HostBooter.3, BitDefender: Trojan.Generic.KDV.801803, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\28.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\31.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\38.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\50.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\51.exe - [B]Trojan.Win32.Jorik.Steckt.bb[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\52.exe - [B]Trojan.Win32.Jorik.Steckt.bb[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\56.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\83.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\system32\\88.exe - [B]Worm.Win32.Hamweq.ml[/B] ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )[*] c:\\windows\\ywdrive32.exe - [B]Trojan-Ransom.Win32.PornoAsset.bthd[/B] ( DrWEB: Trojan.Winlock.7048, BitDefender: Trojan.Generic.KDZ.7043, AVAST4: Win32:Fareit-BF [Trj] )[/LIST][/LIST]