Показано с 1 по 14 из 14.

aadrive32.exe, jodrive32.exe и тому подобные (заявка № 102576)

  1. #1
    Junior Member Репутация
    Регистрация
    24.05.2011
    Сообщений
    7
    Вес репутации
    25

    Thumbs up aadrive32.exe, jodrive32.exe и тому подобные

    Доброй ночи.Где то подхватил заразу,я так понял червя.Убить не получается, Авира находит удаляет и по новой.Переустановка системы с полным форматированием винта и новой разбивкой не помогла.Помогите пожалуйста избавиться от этой напасти...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) stydent@gmail, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\crssc.exe','');
     QuarantineFile('C:\WINDOWS\system32\63.exe','');
     QuarantineFile('C:\WINDOWS\system32\60.exe','');
     QuarantineFile('C:\WINDOWS\system32\57.exe','');
     QuarantineFile('C:\WINDOWS\system32\38.exe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\WINDOWS\aadrive32.exe','');
     QuarantineFile('C:\WINDOWS\jodrive32.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dudedh.exe','');
     TerminateProcessByName('c:\windows\aadrive32.exe');
     QuarantineFile('c:\windows\aadrive32.exe','');
     DeleteFile('c:\windows\aadrive32.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Dudedh');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Dudedh');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dudedh.exe');
     DeleteFile('C:\WINDOWS\jodrive32.exe');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('G:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\20.exe');
     DeleteFile('C:\WINDOWS\system32\38.exe');
     DeleteFile('C:\WINDOWS\system32\57.exe');
     DeleteFile('C:\WINDOWS\system32\60.exe');
     DeleteFile('C:\WINDOWS\system32\63.exe');
     DeleteFile('C:\WINDOWS\system32\crssc.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  5. #4
    Junior Member Репутация
    Регистрация
    24.05.2011
    Сообщений
    7
    Вес репутации
    25

    Файлы

    Файл quarantine.zip отправил раннее а остальное вот:

  6. #5
    Junior Member Репутация
    Регистрация
    24.05.2011
    Сообщений
    7
    Вес репутации
    25

    P.S

    P.S И почему то на флешке тип у всех папок lnk,при попытке открыть пишет ошибку. Но все папки продублировались в скрытые и там нормально открываются

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - удалите в MBAM
    Код:
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    
    Заражённые папки:
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\Admin\application data\10.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\Admin\application data\11.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\Admin\application data\1B.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\Admin\application data\1C.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\Admin\application data\248.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\Admin\application data\249.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\Admin\application data\6.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\Admin\application data\7.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\Admin\application data\8.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\Admin\application data\9.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\Admin\application data\Xsdedb.exe (Malware.Gen) -> No action taken.
    c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\IE5YFI28\logo[1].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\202[1].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\202[2].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\b[1].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\b[1].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\qmyms[1].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\qmyms[2].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PYBX95JT\b[1].exe (Malware.Gen) -> No action taken.
    - Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    24.05.2011
    Сообщений
    7
    Вес репутации
    25

    лог MBAM

    Доброй ночи.В корне диска С/ появилось 2 файла:
    DriverPack_LAN_wnt5_x86-32.ini
    DriverPack_MassStorage_wnt5_x86-32.ini
    и остался какой то непонятный pdfs.exe
    Система работает стабильно.Спасибо

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\pdfs.exe','');
     DeleteFile('c:\pdfs.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  10. #9
    Junior Member Репутация
    Регистрация
    24.05.2011
    Сообщений
    7
    Вес репутации
    25
    Выслал

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,543
    Вес репутации
    3021
    P2P-Worm.Win32.Palevo.ctzp

    Удаляйте файл
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    24.05.2011
    Сообщений
    7
    Вес репутации
    25

    Вопрос

    Цитата Сообщение от thyrex Посмотреть сообщение
    P2P-Worm.Win32.Palevo.ctzp

    Удаляйте файл
    Неподскажите где его найти?

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,543
    Вес репутации
    3021

    Не заметил, что его скриптом удалили

    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    24.05.2011
    Сообщений
    7
    Вес репутации
    25
    Всё гуд.спасибо!!!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\networkservice\\application data\\dudedh.exe - P2P-Worm.Win32.Palevo.ctzp ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.232372, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )
      2. c:\\pdfs.exe - P2P-Worm.Win32.Palevo.ctzp ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.232372, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )
      3. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )
      4. c:\\windows\\aadrive32.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.670618, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )
      5. c:\\windows\\system32\\crssc.exe - Net-Worm.Win32.Kolab.acem ( DrWEB: BackDoor.IRC.Sdbot.15765, BitDefender: Trojan.Generic.6208851, NOD32: Win32/AutoRun.IRCBot.HY worm, AVAST4: Win32:Malware-gen )
      6. c:\\windows\\system32\\38.exe - Trojan.Win32.Menti.gnfq ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Fakealert.26395, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FWH [Trj] )
      7. c:\\windows\\system32\\57.exe - Trojan.Win32.Menti.gnfq ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Fakealert.26395, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FWH [Trj] )
      8. c:\\windows\\system32\\60.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )
      9. c:\\windows\\system32\\63.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) stydent@gmail, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. jodrive32.exe, aadrive и тому подобные
      От STIPerfomance в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.07.2011, 05:25
    2. aadrive32.exe и jodrive32.exe
      От yevgen в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.06.2011, 11:24
    3. Jodrive32.exe, aadrive32.exe
      От Товарищ в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 27.06.2011, 10:16
    4. IEXPLORE.EXE jodrive32.exe aadrive32.exe
      От kovriginborya в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 23.06.2011, 13:35
    5. Ответов: 15
      Последнее сообщение: 14.12.2010, 14:50

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00133 seconds with 16 queries