Добрый вечер! Такая проблема: в каталоге C:\Windows\System32\jmdp появился некий файл stij.exe

То, что это вирус, не оставляет сомнений хотя бы даже то, что удаление процесса из диспетчера задач с последующим удалением каталога jmdp с этим исполняемым файлом помогает ненадолго - через какое-то время stij.exe снова возвращается на своё место и висит в процессах

Вопрос - как бороться с этой проблемой?

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

Необходимые логи прикреплены к сооющению

Внимание !!! База поcледний раз обновлялась 03.03.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.
Пожалуйста обновите базы и сделайте новые логи.

+ Файл
c:\windows\system32\jmdp\stij.exe

Заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Новые логи (архив отправил):

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\windows\system32\jmdp\stij.exe');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer\ie.exe','');
QuarantineFile('c:\windows\system32\jmdp\stij.exe','');
DeleteFile('c:\windows\system32\jmdp\stij.exe');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer\ie.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip при помощи этой формы (http://www.oszone.net/virusnet/)


Сделайте новые логи

(архив отправил): »
не могу его найти. пожалуйста загрузите его сюда http://rghost.ru/ и пришлите ссылку на скачивание мне в ЛС.

thyrex,

quarantine.zip отправил, вот новые логи

regist,

в личном сообщении отправил архив

Кроме того, что этот файл не удаляется другие жалобы есть ?

Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?goto=newpost&t=19726).

regist,

кроме невозможности его удалить - процесс жёстко грузит систему, и это довольно заметно, особенно при запуске приложений различного рода (будь то программы или игры)

Папку C:\Windows\system32\jmdp удалите

Больше необычного логи не показывают

thyrex,

так я и удаляю - а она по прошествии времени (около суток) или же при перезагрузке возвращается на своё место

regist,

результаты AdwCleaner прикреплены к сообщению

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщениюВнимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+ попытайтесь вспомнить, перед тем как заметили этот файл какие-нибудь программы (и возможно заодно с ними тулбары) устанавливались ?

regist,

отчёт прикреплён

насчёт тулбаров и прочего - что ж - вполне возможно, но не факт

В этом файле нет ничего зловредного и к вирусам отношение не имеет. Файл относится к SweetIM for Messenger.

-------------------------------
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщениюВнимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

regist,

так я ж уже прикреплял C:\AdwCleaner[S1].txt к предыдущему сообщению

насчёт этого:
В этом файле нет ничего зловредного и к вирусам отношение не имеет. Файл относится к SweetIM for Messenger. »

А как тогда объяснить то, что этот процесс ОЧЕНЬ тормозит запуск и работу множества приложений, а стоит удалить процесс и удалить директорию - как работа приложений нормализуется?

И да - у меня не установлен "SweetIM for Messenger", из чего я опять же делаю вывод, что stij.exe - всё же вирус

xXx34rus, это не вирус, а чистый файл (https://www.virustotal.com/ru/file/419967c0703fca52f6a4d1dfa680ee28457301100775e4aa36fc401917dda643/analysis/1370930361/) (антивирусные лаборатории это подтвердили) с валидной цифровой подписью. Возможно он также устанавливается с каким-то другим тулбаром или дополнением. К вирусам он отношения не имеет.

Для начала рекомендую по отключать программы из-за автозагрузки и посмотреть при запуске какой программы это процесс запускается.

ЗЫ. фотошоп тоже сильно компьютер тормозит, но это не делает его вирусом ;).