Alex_MSU Опубликовано 16 октября, 2010 Жалоба Поделиться Опубликовано 16 октября, 2010 Добрый вечер, прошу помочь, имею такие симптомы: 1) При попытке запуска AVZ и HJT окна программ мелькают на долю секунды и исчезают, в процессах их не остается. 2) Каспер и CureIT запускаются, дают обновляться, проводят проверку и рапортуют о полном порядке. 3) Попытка похода на kaspersky.com, например, приводит к появлению вот такой строчки в окне IE: http://domainhelp.search.com/search?q=kaspersky&d=www.www.kaspersky.com.com 4) на микрософт апдейт успешно залез и все апдейты якобы установились (сейчас проверил- уже не пускает) 5) При установке скачанного на рабочий стол ComboFix выскочило окошко как на скрине и комп перегрузился. Над окошком выключения думая около минуты. После перезагрузки ComboFix успешно провел проверку и сгенерил лог, который и прилагаю. log.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 16 октября, 2010 Автор Жалоба Поделиться Опубликовано 16 октября, 2010 Сорри, скин почему-то не прикрепился Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 16 октября, 2010 Автор Жалоба Поделиться Опубликовано 16 октября, 2010 Небольшое уточнение - переименование AVZ и HJT, а также скачивание полиморфов приводит к ровно такому же результату - их появлению на доли секунды. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 (изменено) Лог RSIT сделайте еще. МБАМ нашел что нибудь? Изменено 17 октября, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 Лог RSIT сделайте еще. МБАМ нашел что нибудь? скачал RSIT - та же история, мелькает на доли секунды. когда сканировал MBAM вчера - нашел только таблетку фотошопа, а сегодняшний повторный скан приаттачил. все найденное в реестре - убил, но оно все снова ведь вылезет если причину не прибить. Еще вспомнил - каспер почему-то не стартует в safemode, иконка в трее появляется - левый клик и она исчезает, правый - вываливается нго контекстное меню и выбор любого пункта также приводид к закрытию. KAV2010 mbam-log-2010-10-17 (07-59-25).txt mbam-log-2010-10-17 (07-59-25).txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex1983 Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Alex_MSU Здравствуйте. удалить с помощью MBAM все следующие объекты (для удаления нужно повторное сканирование), кроме C:\Program Files\Adobe\Adobe Photoshop CS4\Patch.exe (Trojan.Agent) -> No action taken. Что с проблемой? Выполните логи AVZ и RSIT. Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 17 октября, 2010 Автор Жалоба Поделиться Опубликовано 17 октября, 2010 Здравствуйте, дела такие: 1) RSIT, AVZ, HJT не запускаются ни в сэйф, ни в обычном. 2) ComboFix не стартует в сэйф и начал через раз запускаться в обычном. 3) Обнаружил что зараза убила все контрольные точки восстановления, сейчас отключил его. 4) Сразу после старта в процессах то появляются, то исчезают процессы iexplorer.exe и route.exe. Никаких окон IE при этом я, естественно, не открываю. Еще обнаружил увеличенный в размерах от-но стандартного wininet.dll в system32. Попытка переписать туда обычный приводит к тому, что через пару сек. зараза снова перезаписывает поверх свой. Возможно это не спортивно, но хочу снять винт и подцепить к другой машине как внешний usb. 1) Какова вероятность замочить заразу KAV-ом 2010 с последними базами и включенной онлайн защитой? 2) Как минимизировать вероятность инфецировать вторую машину при такой процедуре? Спасибо Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 октября, 2010 Жалоба Поделиться Опубликовано 17 октября, 2010 Вставьте диск с дистрибутивом windows в привод в коммандной строке выполните sfc /scannow Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Вставьте диск с дистрибутивом windows в привод в коммандной строке выполните sfc /scannow Спасибо, попробую. Правда у меня нет дистриба в таком виде, есть только скрытая партиция на винте. IBM, мать его. И есть еще папка I386 в корне C: насколько понимаю это тоже что-то вроде резервной копии винды. В общем, сканирование в режиме USB-винта с подключением к другой машине ничего не дало - каспер сказал полный OK. Ручной поиск по слову route.exe дал такой результат: Спасибо, попробую. Правда у меня нет дистриба в таком виде, есть только скрытая партиция на винте. IBM, мать его. И есть еще папка I386 в корне C: насколько понимаю это тоже что-то вроде резервной копии винды. В общем, сканирование в режиме USB-винта с подключением к другой машине ничего не дало - каспер сказал полный OK. Ручной поиск по слову route.exe дал такой результат: Прошу прощения, натупил со скрином, вот нормальный Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Проверил с еще одной машины f-secure: Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Вставьте диск с дистрибутивом windows в привод в коммандной строке выполните sfc /scannow Сорри, не понял. Загрузиться с дистриба или загрузиться с винта и вставив диск выполнить команду? Если загрузиться с дистриба, то не нашел где там командная строка. Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Вставьте диск с дистрибутивом windows в привод в коммандной строке выполните sfc /scannow Дотюкал. Выполнил, после проверки молча закрылась. Что дальше? Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 Что спроблемами? Логи повторите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Что спроблемами? Логи повторите. Вечер добрый! Логи кого-чего? 1) AVZ RSIT HJT - не запускаются. сейчас почистил все темпы + точки восстановления кроме созданной вручную. Поставил cure it в безопасном - быстрая проверка ничего не нашла. Который час идет полная. Походу тоже ничего не найдет. Снова гнать ComboFix? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 1. Скажите, эта проблема возникает только с программами AVZ, HJT RSIT (то, что связано с безопасностью)? Остальные программы, которыми Вы пользуетесь, работают как обычно (если опустить некоторые заметки о Касперском и пр.)? 2. yrlwahu.exe, как я поняла, был удален с помощью F-Secure? (удаляйте, если нет). 3. wininet.dll - не нужно удалять (уверенности в том, что он заражен - нет). Если под увеличением в размерах Вы имели в виду отличие от файла в папке, напр., "\i386" - то это может быть нормальным. iexplorE.exe и route.exe - файлы Windows (iexplorer.exe - нет), плохо если ими кто-то пользуется без Вашего ведома. 4. Почему не работают антивирусные сайты - показал MBAM (у Вас испорчена таблица маршрутизации TCP/IP - это не страшно и легко исправляется; но чтобы исправление не было бесполезным - сначала нужно удалить виновника). 5. Попробуйте скачать OSAM, чтобы посмотреть, запуститься ли он. Скачайте, распакуйте и запустите файл osam.exe. Если он точно также закроется, то запустите его с помощью командной строки с параметром -s: "путь к папке\osam.exe" -s И после этого отпишитесь: удалось ли программе запуститься или она также была убита. (если всё-таки OSAM запуститься - пожалуйста, не отключайте с его помощью никаких объектов, масштабное тестирование этой сборки еще не завершено. Но обычное сканирование никакого вреда Вам не принесет). Пока просто проверяем запуск и возможность проверки. Поскольку очень сложно Вам помочь - о системе известно слишком мало. 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Saule, Спасибо, закончу для формального порядка бесполезную проверку CureIT, и приступлю к Вашим рекомендациям. Сразу же отпишусь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 К сожалению, я пропустила Ваш combo-log :) Там прямо в самом начале уже мелькают записи, которых не должно быть: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\3362b720.exe,c:\windows\system32\yrlwahu.exe," Интересно, они еще живы? 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 К сожалению, я пропустила Ваш combo-log :) Там прямо в самом начале уже мелькают записи, которых не должно быть: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\3362b720.exe,c:\windows\system32\yrlwahu.exe," Интересно, они еще живы? Интересно, что этих файлов нет в логе вверху, среди записанных за последний месяц. А заражение случилось 15 октября (не раньше), 100% Насчет живы ли- сейчас посмотрю. Их если что попытаться ручками прибить или следовать Вашей первой рекомендации с OSAM? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 Saule, рад приветствовать! Давайте попробуем так (если ничего из вышеперечисленного не сработало): Попробуйте переименовать combofix.exe во что-то нейтральное (explorer.exe или trojan.pif) и выполнить скрипт: Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll::File::c:\windows\system32\3362b720.exec:\windows\system32\yrlwahu.exeDriver::Folder::c:\program files\Common Files\64B8394FaRegistry::[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]"Userinit"="c:\windows\system32\userinit.exe,"RegLock::[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}][HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation][HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32][HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib][HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}][HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32][HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 AkoK, Saule Спасибо, сейчас выполню. Итак, перегрузился с сейфа на обычный, весьма шустрый бук тупил минут 5, вылазя из сэйфа. Сразу на старте залез в task-manager там прыгает целая куча route.exe иногда 1-2, иногда штук 5, прыгают туда-сюда по списку процессов. Через пару минут все успокоилось (бук отрублен от сети). Сейчас наблюдаю 5 штук tbkern32.exe висящих вверху списка и штук 8 svchost.exe ближе к концу списка. с:\windows\system32\3362b720.exe не нашел поиском c:\windows\system32\yrlwahu.exe живой Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Итак, Saule, Не загружаются: RSIT, HJT, AVZ, к ним примкнул OSAM, в том числе с параметром -s. Если окошки первых трех мелькают на секунду и закрываются то при попытке запуска OSAM в обоих случаях выскакивает одинаковая ошибка: The application failed to initialize properly (0xc0000034). Click ok to terminate application. Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 AkoK, Поскольку я удалял ComboFix (действовал по правилам), сейчас ставлю его заново. Переименовал в trojan.pef После сообщения о липовых combo-fix сайтах и моего кликания по yes, он немного подумал и выдал такое же окошечко как на скрине в моем втором посте, после чего машина ушла в перезагрузку Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 при попытке запуска OSAM... Эх, я Вам библиотек не додала... и уже уехала домой(( Попробуйте эту версию, если понадобиться (без параметра -s) 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 После тупняка и и таки рестарта выскочило голубое окошечко ComboFix, вроде проверяет. Лог ComboFix.txt ComboFix.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Saule, OSAM по Вашей второй ссылке запустился. Лог прикрепил. osam.log osam.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти