как удалить jmxjribl.exe? [Worm.Win32.AutoRun.hbbg]

**Сергей1965lion** · 08-10-2020, 08:21 AM

На флешке постоянно создаются 4 файла. Скрин прикрепил. После удаления появляются вновь через 3-5 секунд. Если заморозить процесс firefox то эти файлы больше не создаются и браузер тоже продолжает работать. Что странно.
Компьютер стал очень медленным. В автозагрузке постоянно находится файл - jmxjribl.exe. Удалить нельзя. Пишет, что открыт в firefox. При закрытом Firefox процесс продолжает висеть в исполняемых. После удаления из выполняемых - файл тоже можно удалить...до следующего запуска Мозилы.
Благодарю за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08-10-2020, 08:22 AM

Уважаемый(ая) Сергей1965lion, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 08-10-2020, 09:07 AM

Здравствуйте!

Лечить следует только в одном месте. Разные рекомендации могут повредить вашу систему и запутать консультанта.

Определитесь, где будете продолжать - здесь или на форуме ЛК?

**Сергей1965lion** · 08-10-2020, 10:32 AM

Originally Posted by Sandor

Здравствуйте!

Лечить следует только в одном месте. Разные рекомендации могут повредить вашу систему и запутать консультанта.

Определитесь, где будете продолжать - здесь или на форуме ЛК?

Что такое ЛК?

- - - - -Добавлено - - - - -

Что такое ЛК не знаю...поэтому лечим тут, если можно. Благодарю!

- - - - -Добавлено - - - - -

И ещё в прогам файл постоянно создаётся эта папка - bggwhiru. В ней файл - jmxjribl.ехе. Можно удалить только при удалении в процессах firefox

**Sandor** · 08-10-2020, 10:36 AM

Лаборатория Касперского - https://forum.kasperskyclub.ru/topic...t-jmxjriblexe/

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по первой ссылке из правил) и повторите CollectionLog.

**Сергей1965lion** · 08-10-2020, 10:58 AM

Новый лог

**Sandor** · 08-10-2020, 11:08 AM

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Code:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\icelion1965\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jmxjribl.exe', '');
 DeleteFile('C:\Users\icelion1965\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jmxjribl.exe', '');
 DeleteFile('C:\Users\icelion1965\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jmxjribl.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

"Пофиксите" в HijackThis:

Code:

F2 - HKLM\..\WinLogon: [UserInit] = C:\Windows\system32\userinit.exe,,C:\Program Files\bggwhiru\jmxjribl.exe
O22 - Task: {4DEDE60C-6941-4E95-8687-2D4298676A30} - C:\Users\Scorpion\Desktop\Microsoft Office PowerPoint 2007 Rus Portable\Microsoft Office PowerPoint 2007.exe (file missing)
O22 - Task: {81A2415D-0EC0-4C86-9CA6-1AC525F9391D} - C:\Users\Scorpion\Desktop\Microsoft Office PowerPoint 2007 Rus Portable\Microsoft Office PowerPoint 2007.exe (file missing)
O22 - Task: {8C4788D8-A6B8-4696-9700-7E26CDAB7F43} - C:\Users\Scorpion\Desktop\Microsoft Office PowerPoint 2007 Rus Portable\Microsoft Office PowerPoint 2007.exe (file missing)

Сделайте повторные логи по правилам. (CollectionLog)

**Sandor** · 08-10-2020, 12:43 PM

Карантин к сообщению прикреплять не нужно. Если есть возможность, удалите вложение.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Сергей1965lion** · 08-10-2020, 12:48 PM

Карантин удалил. оставил только лог

**Sandor** · 08-10-2020, 12:53 PM

Продолжайте - сообщение #8

**Сергей1965lion** · 08-10-2020, 12:54 PM

файлы FRST

**Sandor** · 08-10-2020, 01:07 PM

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code:

Start::
CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Windows\System32\userinit.exe,C:\Program Files\bggwhiru\jmxjribl.exe <==== ATTENTION
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {051de39e-af70-11e4-9597-80193443bd58} - G:\AutoRun.exe
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {36cd1b40-2257-11e7-8fd1-b82a72ec8595} - F:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {3f4d0656-31c9-11e8-88e5-80193443bd58} - F:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {6b069245-0b5c-11e5-9e88-80193443bd58} - F:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {94fef864-061b-11e6-b968-80193443bd58} - F:\AutoRun.exe
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {94fef869-061b-11e6-b968-80193443bd58} - F:\AutoRun.exe
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {94fef86c-061b-11e6-b968-80193443bd58} - F:\AutoRun.exe
HKU\S-1-5-21-978952002-1948339815-2455073820-1000\...\MountPoints2: {b4d712f0-a8de-11e8-a83a-c74a606de9e9} - F:\HTC_Sync_Manager_PC.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {6E504D44-4956-4A8F-AA25-A27BE3EF5647} - \GlaryInitialize 5 -> No File <==== ATTENTION
HKLM\...\regfile\DefaultIcon: C:\Windows\regedit.exe,1 <==== ATTENTION
HKLM\...\batfile\DefaultIcon: C:\Windows\system32\imageres.dll,-68 <==== ATTENTION
FirewallRules: [{FB3C3A49-FE83-4BA1-B438-3D929D06749A}] => (Allow) LPort=48113
FirewallRules: [{09137A79-7018-40FB-AD64-BE68212A17C9}] => (Allow) LPort=48114
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**Сергей1965lion** · 08-10-2020, 01:30 PM

FRST log

- - - - -Добавлено - - - - -

Точка восстановления пропала и не создалась новая. Но это у меня постоянно так. После перезагрузки пропадают.

**Sandor** · 08-10-2020, 01:35 PM

Originally Posted by Сергей1965lion

Но это у меня постоянно так. После перезагрузки пропадают

Не нормальное поведение. Попробуйте устранить на том же форуме ЛК.

Здесь в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Сергей1965lion** · 08-10-2020, 01:48 PM

Security check

**Sandor** · 08-10-2020, 01:53 PM

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
VLC media player v.2.2.4 Внимание! Скачать обновления
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
NVIDIA GeForce Experience 2.2.2 v.2.2.2 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45574 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.81.0.4044.138 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 72.0.1 (x86 ru) v.72.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Прежде, чем устанавливать "хотфиксы" (а сделать это нужно обязательно), почините "Восстановление системы".

Читайте Советы и рекомендации после лечения компьютера.

**Сергей1965lion** · 08-10-2020, 02:18 PM

Хорошо. Это я понял. Спасибо.
А что с моим первоначальным вопросом? Пока ничего не изменилось к сожалению.
Файлы по прежнему создаются. папки на месте. автозагрузка тоже...

- - - - -Добавлено - - - - -

Папка с неубиваемым файлом создаётся как и раньше. ярлыки на флешке тоже.Attachment 682769

- - - - -Добавлено - - - - -

пока висит Firefox в процессах - всё по прежнему. Сам браузер при этом, не запущен.

**Sandor** · 08-10-2020, 02:28 PM

Хм, виноват, мне показалось, что проблема решена.

Соберите свежий CollectionLog Автологером.

Originally Posted by Сергей1965lion

Папка с неубиваемым файлом создаётся как и раньше

Папка, как я понял, внутри "Program files", верно?

Originally Posted by Сергей1965lion

ярлыки на флешке тоже

Флешка одна и та же или разные?

**Сергей1965lion** · 08-10-2020, 02:59 PM

внутри "Program files", верно? - всё верно
ярлыки, autorun.inf и папка на любой флешке

- - - - -Добавлено - - - - -

превышает лимит)))

- - - - -Добавлено - - - - -

лог не добавляется. превышает лимит.

- - - - -Добавлено - - - - -

как очистить место под новый лог?

**Sandor** · 08-10-2020, 03:15 PM

Вверху ссылка "Мой кабинет", слева внизу "Вложения" - удалите старые.

как удалить jmxjribl.exe? [Worm.Win32.AutoRun.hbbg] (заявка № 225461)

Thread Tools