Показано с 1 по 6 из 6.

Не понятный файл ywdrive32.exe грузит систему [Trojan.Win32.Jorik.Steckt.bb, Trojan-Downloader.Win32.Andromeda.exj ] (заявка № 133222)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2013
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    18

    Не понятный файл ywdrive32.exe грузит систему [Trojan.Win32.Jorik.Steckt.bb, Trojan-Downloader.Win32.Andromeda.exj ]

    Не понятный файл ywdrive32.exe грузит систему и очень тормозит интернет. В Admin\Application Data постоянно появляются левые .exe типа 1.exe, 2.exe, c.exe и т. д. Простое удалени не помогает снова все появляется после перезагрузки
    Вложения Вложения
    с ув. МARKSIST

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) MARKSIST, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    > Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
    if not IsWOW64 then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
     TerminateProcessByName('c:\windows\system32\msprxysvc32.exe');
     TerminateProcessByName('c:\windows\ywdrive32.exe');
     TerminateProcessByName('c:\documents and settings\admin\application data\1.exe');
     QuarantineFile('C:\WINDOWS\system32\88.exe','');
     QuarantineFile('C:\WINDOWS\system32\83.exe','');
     QuarantineFile('C:\WINDOWS\system32\56.exe','');
     QuarantineFile('C:\WINDOWS\system32\52.exe','');
     QuarantineFile('C:\WINDOWS\system32\51.exe','');
     QuarantineFile('C:\WINDOWS\system32\50.exe','');
     QuarantineFile('C:\WINDOWS\system32\38.exe','');
     QuarantineFile('C:\WINDOWS\system32\31.exe','');
     QuarantineFile('C:\WINDOWS\system32\28.exe','');
     QuarantineFile('C:\WINDOWS\system32\25.exe','');
     QuarantineFile('C:\WINDOWS\system32\21.exe','');
     QuarantineFile('C:\WINDOWS\system32\15.exe','');
     QuarantineFile('C:\WINDOWS\system32\12.exe','');
     QuarantineFile('C:\WINDOWS\system32\06.exe','');
     QuarantineFile('C:\WINDOWS\system32\04.exe','');
     QuarantineFile('C:\WINDOWS\system32\02.exe','');
     QuarantineFile('C:\WINDOWS\system32\01.exe','');
     QuarantineFile('C:\WINDOWS\system32\00.exe','');
     QuarantineFile('C:\WINDOWS\ywdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\msprxysvc32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12689\w7fiv172.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12349\wfiv12.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Zqbqbp.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\1.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\1.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Zqbqbp.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zqbqbp');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12349\wfiv12.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12689\w7fiv172.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','w7fie172');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wfi72');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wi68');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepro0xz');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepdro0xz');
     DeleteFile('C:\WINDOWS\system32\msprxysvc32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Proxy Service');
     DeleteFile('C:\WINDOWS\ywdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\00.exe');
     DeleteFile('C:\WINDOWS\system32\01.exe');
     DeleteFile('C:\WINDOWS\system32\02.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\06.exe');
     DeleteFile('C:\WINDOWS\system32\12.exe');
     DeleteFile('C:\WINDOWS\system32\15.exe');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     DeleteFile('C:\WINDOWS\system32\25.exe');
     DeleteFile('C:\WINDOWS\system32\28.exe');
     DeleteFile('C:\WINDOWS\system32\31.exe');
     DeleteFile('C:\WINDOWS\system32\38.exe');
     DeleteFile('C:\WINDOWS\system32\50.exe');
     DeleteFile('C:\WINDOWS\system32\51.exe');
     DeleteFile('C:\WINDOWS\system32\52.exe');
     DeleteFile('C:\WINDOWS\system32\56.exe');
     DeleteFile('C:\WINDOWS\system32\83.exe');
     DeleteFile('C:\WINDOWS\system32\88.exe');
     ExecuteWizard('TSW',2,2,true);
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер будет перезагружен.

    > Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

    > Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

    + отчет RSIT и Norton Power Eraser.
    _________________
    > как выполнить скрипт в AVZ

  5. #4
    Junior Member Репутация
    Регистрация
    13.02.2013
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    18

    Файлы

    Файлы
    Вложения Вложения
    с ув. МARKSIST

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Лечим компьютер таким образом http://support.kaspersky.ru/wks6mp3/error?qid=208636215, после лечения Сделайте лог Gmer + Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\microsoft\\zqbqbp.exe - Backdoor.Win32.Ruskill.qej ( DrWEB: BackDoor.Andromeda.139, BitDefender: Trojan.Generic.KD.837459, AVAST4: Win32:LockScreen-QS [Trj] )
      2. c:\\documents and settings\\admin\\application data\\1.exe - Trojan.Win32.Jorik.Tedroo.cjy ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Trojan.Generic.KD.827479, NOD32: Win32/SpamTool.Tedroo.AQ trojan, AVAST4: Win32:Jorik-SI [Trj] )
      3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-106669\\w68v12.exe - Trojan.Win32.Jorik.Nrgbot.ene ( DrWEB: Trojan.Packed.23610, BitDefender: Trojan.Generic.KDZ.1286, AVAST4: Win32:Malware-gen )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-12349\\wfiv12.exe - Trojan-Downloader.Win32.Andromeda.ebj ( DrWEB: Trojan.Packed.23511, BitDefender: Trojan.Generic.8179118, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Downloader-RKM [Trj] )
      5. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-12689\\w7fiv172.exe - Trojan-Downloader.Win32.Andromeda.ebj ( DrWEB: Trojan.Packed.23511, BitDefender: Trojan.Generic.8179118, AVAST4: Win32:Downloader-RKM [Trj] )
      6. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-46689\\24naq.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
      7. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-917678\\nepro0xz.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
      8. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-91768\\nedpro0xz.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Win32.HLLW.Autoruner1.33124, BitDefender: Gen:Win32.ExplorerHijack.amW@aeK05dj, AVAST4: Win32:Malware-gen )
      9. c:\\windows\\system32\\msprxysvc32.exe - Packed.Win32.Klone.bz ( DrWEB: BackDoor.IRC.Rxbot.64, BitDefender: DeepScan:Generic.Sdbot.FD3DE875, AVAST4: Win32:Rbot-GQO [Trj] )
      10. c:\\windows\\system32\\00.exe - Trojan.Win32.Jorik.Steckt.bb ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )
      11. c:\\windows\\system32\\01.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      12. c:\\windows\\system32\\02.exe - Trojan.Win32.Jorik.Steckt.bb ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )
      13. c:\\windows\\system32\\04.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      14. c:\\windows\\system32\\06.exe - Trojan-Downloader.Win32.Andromeda.exj ( DrWEB: BackDoor.HostBooter.3, BitDefender: Trojan.Generic.KDV.801803, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Dropper-gen [Drp] )
      15. c:\\windows\\system32\\12.exe - Trojan.Win32.Jorik.IRCbot.vnv ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.801327, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QCG [Trj] )
      16. c:\\windows\\system32\\15.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      17. c:\\windows\\system32\\21.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      18. c:\\windows\\system32\\25.exe - Trojan-Downloader.Win32.Andromeda.exj ( DrWEB: BackDoor.HostBooter.3, BitDefender: Trojan.Generic.KDV.801803, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Dropper-gen [Drp] )
      19. c:\\windows\\system32\\28.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      20. c:\\windows\\system32\\31.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      21. c:\\windows\\system32\\38.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      22. c:\\windows\\system32\\50.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      23. c:\\windows\\system32\\51.exe - Trojan.Win32.Jorik.Steckt.bb ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )
      24. c:\\windows\\system32\\52.exe - Trojan.Win32.Jorik.Steckt.bb ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.803352, AVAST4: Win32:Dropper-gen [Drp] )
      25. c:\\windows\\system32\\56.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      26. c:\\windows\\system32\\83.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      27. c:\\windows\\system32\\88.exe - Worm.Win32.Hamweq.ml ( DrWEB: Trojan.Packed.23593, BitDefender: Trojan.Generic.8282631, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Zbot-QBN [Trj] )
      28. c:\\windows\\ywdrive32.exe - Trojan-Ransom.Win32.PornoAsset.bthd ( DrWEB: Trojan.Winlock.7048, BitDefender: Trojan.Generic.KDZ.7043, AVAST4: Win32:Fareit-BF [Trj] )


  • Уважаемый(ая) MARKSIST, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 15.01.2013, 00:45
    2. фаил cmd.exe грузит систему
      От DamirHan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.03.2011, 11:33
    3. фаил svchost.exe грузит систему 100%
      От CyberHelper в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 29.09.2010, 14:21
    4. файл winlogon.exe грузит систему на 50 %
      От KLANCo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.09.2009, 20:46
    5. Ответов: 6
      Последнее сообщение: 22.07.2009, 18:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00900 seconds with 17 queries