jjdrive32.exe и другие вредители

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
f:\windows\system32\tOqFvkP.exe
f:\windows\system32\T2LiWh9.exe
f:\windows\system32\oj1pu3l.exe

Driver::
lkffcpjq

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6591:TCP"=-

NetSvc::
lkffcpjq

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[DMTR]

Выполнил, выкладываю новый лог комбофикс.

[thyrex]

Что с проблемой на данный момент?

Как установить заплатки безопасности?

Посетить http://update.microsoft.com

[DMTR]

Установил все заплатки безопасности.
Сейчас из подозрительных симптомов наблюдается медленная загрузка всех страниц в браузере, включая эту и девять процессов svchost.exe в дисптечере задач.

[thyrex]

Удалите ComboFix

[DMTR]

Выполнил.

Добавлено через 3 часа 34 минуты

Сейчас заметил что консоль после комбофикс не удалось удалить, хотя пробовал и ручным методом тоже. Не дает удалять эти файлы.

Интернет продолжает лагать, периодически ни один сайт не грузиться, иногда со второго раза только срабатывает.

[thyrex]

Сейчас заметил что консоль после комбофикс не удалось удалить

http://technet.microsoft.com/ru-ru/l...66(WS.10).aspx

[DMTR]

Не удается удалить файлы из папки cmdcons, пишет "нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением."

[thyrex]

Попробуйте сначала выполнить пп. 8 - 12, перезагрузиться и пробовать выполнить остальное

[DMTR]

Сделал изменения в файле Файл Boot.ini и при загрузке не появлялся экран связанный с этой консолью, но когда пытаюсь стереть cmdcons, получаю то же оповещение что и выше.

Добавлено через 2 часа 56 минут

Хотел выложить стандартные логи, чтобы посмотрели, так как процесс лечение заглох, но на последнем пункте - исследование системы AVZ остановился и не смог завершить сбор информации.

[thyrex]

Попробуйте удалить папку в безопасном режиме

[DMTR]

Не удается это сделать и в безопасном режиме, получаю то же самое сообщение.
На сколько важно для безопасноти компьютреа удаление этого файла?

[thyrex]

Пробуем

Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\Cmdcons

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[DMTR]

После чего я дал согасие на перезагрузку в конце процесса, пару минут ничего не происхдило, пришлось выключить компьютер.
Файл по преженму на месте вот инфа из лога

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
Folder move failed. C:\cmdcons scheduled to be moved on reboot.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 60789323 bytes
->Temporary Internet Files folder emptied: 4339743 bytes
->Java cache emptied: 26434741 bytes
->FireFox cache emptied: 59324764 bytes
->Google Chrome cache emptied: 331903497 bytes
->Apple Safari cache emptied: 16075206 bytes
->Flash cache emptied: 167726 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: hm
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: holdemmanager
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 59794 bytes

User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2514792 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 108773 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 479.00 mb


OTM by OldTimer - Version 3.1.10.0 log created on 03092010_213331

[thyrex]

Попробуйте зайти под встроенным Администратором, дать соответствующие права на папку и пробуйте удалить

Если в английском сильны, смотрите http://www.techspot.com/vb/topic135243.html

[DMTR]

Удалось удалить. Что дальше делать?

[thyrex]

Следов вирусов не оставалось больше. Лечение можно считать оконченным.

Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый

[DMTR]

К сожаленю по прежнему есть некоторые проблемные симтомы. Хотя интернет работает нормально, но ZoneAlarm не смог установить и нормально перегрузиться тоже не получается, меню Пуск застывает, хотя при этом компьютер не зависает.

Добавлено через 1 час 28 минут

Все работает, всем спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 62
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe - P2P-Worm.Win32.Palevo.rmm ( DrWEB: Win32.HLLW.Lime.187, BitDefender: Worm.Generic.227674, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )
  2. f:\docume~1\admin\locals~1\temp\451.exe - Trojan-Downloader.Win32.VB.vqj ( DrWEB: Trojan.Inject.8417 )
  3. f:\program files\common files\adobearms.exe - Backdoor.Win32.Rbot.aiqk
  4. f:\recycler\s-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe - P2P-Worm.Win32.Palevo.wde ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.231268, AVAST4: Win32:Malware-gen )
  5. f:\recycler\s-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe - P2P-Worm.Win32.Palevo.wde ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.231268, AVAST4: Win32:Malware-gen )
  6. f:\windows\jjdrive32.exe - Net-Worm.Win32.Kolab.gsn ( DrWEB: Trojan.MulDrop1.4886, BitDefender: Gen:Heur.VB.Krypt.12, AVAST4: Win32:Malware-gen )
  7. f:\windows\system32\drivers\instmsi.exe - Trojan.Win32.Agent.dlqs ( DrWEB: BackDoor.IRC.Bot.173, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )
  8. f:\windows\system32\d34b1731.exe - Trojan.Win32.Small.cia ( DrWEB: Trojan.MulDrop.64715 )
  9. f:\windows\system32\mshost.exe - Backdoor.Win32.Agobot.qzp ( DrWEB: Trojan.Packed.19664, BitDefender: Trojan.Generic.3202159, AVAST4: Win32:Malware-gen )
  10. f:\windows\system32\18.scr - Trojan.Win32.Agent.dlqs ( DrWEB: BackDoor.IRC.Bot.173, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )
  11. \\?\globalroot\systemroot\system32\g7jeqan.exe - Trojan.Win32.Agent.dnrw ( DrWEB: Trojan.Siggen1.7663, NOD32: Win32/Spy.Shiz.NAK trojan )