Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 39.

jjdrive32.exe и другие вредители (заявка № 72961)

  1. #1
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29

    Thumbs up jjdrive32.exe и другие вредители

    Компьютер стал медленно работать, в том числе и интернет, нет доступа на сайты связанные с комп. безопастностью. В процессах появились новые апликации exe.
    Dr.Web не нашел ничего.
    Выкладываю логи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите восстановление системы
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\WINDOWS\system32\18.scr','');
     QuarantineFile('F:\WINDOWS\system32\umdmgr.exe','');
     QuarantineFile('F:\WINDOWS\system32\syre32.exe','');
     QuarantineFile('F:\WINDOWS\system32\drivers\Instmsi.exe','');
     QuarantineFile('F:\WINDOWS\jjdrive32.exe','');
     QuarantineFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe','');
     QuarantineFile('F:\Program Files\n52te\n52teHid.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
     QuarantineFile('F:\Documents and Settings\Admin\Application Data\Mikogo\B-Service.exe','');
     QuarantineFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp','');
     QuarantineFile('F:\WINDOWS\SnoopFreeDll.dll','');
     QuarantineFile('f:\windows\system32\snoopfreesvc.exe','');
     QuarantineFile('f:\windows\jjdrive32.exe','');
     TerminateProcessByName('f:\windows\jjdrive32.exe');
     QuarantineFile('f:\windows\system32\drivers\instmsi.exe','');
     TerminateProcessByName('f:\windows\system32\drivers\instmsi.exe');
     QuarantineFile('f:\program files\common files\adobearms.exe','');
     QuarantineFile('f:\docume~1\admin\locals~1\temp\451.exe','');
     TerminateProcessByName('f:\docume~1\admin\locals~1\temp\451.exe');
     DeleteFile('f:\docume~1\admin\locals~1\temp\451.exe');
     DeleteFile('f:\windows\system32\drivers\instmsi.exe');
     DeleteFile('f:\windows\jjdrive32.exe');
     DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
     DeleteFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe');
     DeleteFile('F:\WINDOWS\jjdrive32.exe');
     DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe');
     DeleteFile('F:\WINDOWS\system32\syre32.exe');
     DeleteFile('F:\WINDOWS\system32\umdmgr.exe');
     DeleteFile('F:\WINDOWS\system32\18.scr');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог gmer

  4. #3
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Карантин загрузил, выкладываю логи. Gmer скан два раза сорвался, экран становился синним, появлялись нечитабельные знаки кроме "stop" и где-то дальше "Windows logon process"

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    КидоКиллером надо провериться http://support.kaspersky.ru/faq/?qid=208636215
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    КидоКиллер сработал, теперь есть доступ на сайты связанные с комп. безопастностью.

    Что нужно еще проверить?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Надо логи повторить, полный комплект.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Выкладываю новые логи.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Следующая пачка:
    Профиксить:
    Код:
    O4 - HKLM\..\Run: [patches] 1
    потом скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe','');
      QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('f:\windows\cidrive32.exe','');
     DeleteFile('f:\windows\cidrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
      DeleteFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe');
     DeleteFile('F:\WINDOWS\cidrive32.exe');
    BC_ImportDeletedList;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Логи потом повторите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Сделал то что написали выше, сделал логи которые и выкладываю, но после снова не мог зайти не сайт. Запустил опять КидоКиллер, он снова что-то нашел, вроде уничтожил. Доступ на сайт снова есть.

  11. #10
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Вот логи которые сделал после чего воспользовался КидоКиллером.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите восстановление системы!!!
    Пофиксите в Hijackthis:
    Код:
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O4 - HKLM\..\Run: [patches] 1
    O9 - Extra button: (no name) - DctMapping - (no file)
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('f:\windows\system32\msvmcls64.exe');
     TerminateProcessByName('f:\program files\common files\adobearms.exe');
     DeleteFile('f:\program files\common files\adobearms.exe');
     DeleteFile('f:\windows\system32\msvmcls64.exe');
     DeleteFile('F:\WINDOWS\system32\22.scr');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог mbam

  13. #12
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Выполнил все, выкладываю новые логи.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\d34b1731.exe,\\?\globalroot\systemroot\system32\g7jeqAN.exe,
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\WINDOWS\system32\d34b1731.exe','');
     QuarantineFile('F:\WINDOWS\system32\drivers\SnopFree.sys','');
     QuarantineFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe','');
     QuarantineFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe','');
     QuarantineFile('F:\WINDOWS\system32\mshost.exe','');
     DeleteFile('F:\WINDOWS\system32\76.scr');
     DeleteFile('F:\WINDOWS\system32\mshost.exe');
     DeleteFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe');
     DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe');
     DeleteFile('F:\WINDOWS\system32\d34b1731.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Просканируйте системные диски AVPTool. После сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Обновления безопасности стоят на системе?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    + к Павлу и DefesT

    Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Имеется в виду автоматические обновление Windows XP или что-то другое?

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Цитата Сообщение от DMTR Посмотреть сообщение
    Имеется в виду автоматические обновление Windows XP или что-то другое?
    Имеется в виду, установлены ли у Вас все обновления для системы, вышедшие после SP3. Если автоматическое обновление включено, они должны приходить к Вам автоматически

    Ответьте на вопрос + выполните скрипт из сообщения №13 + лог ComboFix сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Выполнил все прописали выше, AVPTool нашел около 30 зараженных файлов. Я выбирал удаление или лечение в завимости от рекомендаций программы.
    Загрузил карантин.
    Выкладываю логи в том числе и ComboFix.
    Автоматическое обновление отключено, на компьютере стоит Windows XP SP3.

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от DMTR Посмотреть сообщение
    Автоматическое обновление отключено, на компьютере стоит Windows XP SP3.
    Заплатки безопасности все рано надо ставить.
    Лог комбофикс делали после AVPTool или нет?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Priority Member Репутация
    Регистрация
    06.03.2010
    Сообщений
    38
    Вес репутации
    29
    Как установить заплатки безопасности?
    Лог комбофикс делал после чего прошелся AVPTool.

  • Уважаемый(ая) DMTR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Набежали вредители
      От aliwas в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.04.2012, 16:00
    2. Ответов: 3
      Последнее сообщение: 01.03.2010, 12:30
    3. bn1.tmp и bn2.tmp - вредители [Trojan.Win32.Inject.myf ]
      От AndrjuXA в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:50
    4. Самые оригинальные вредители 2007 года
      От SDA в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 29.12.2007, 13:27
    5. Мобильные вредители
      От SDA в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 15.09.2005, 19:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00447 seconds with 16 queries