Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Не запускается AVZ, HJT и сайты антивирусов


Рекомендуемые сообщения

Добрый вечер, прошу помочь, имею такие симптомы:

1) При попытке запуска AVZ и HJT окна программ мелькают на долю секунды и исчезают, в процессах их не остается.

2) Каспер и CureIT запускаются, дают обновляться, проводят проверку и рапортуют о полном порядке.

3) Попытка похода на kaspersky.com, например, приводит к появлению вот такой строчки в окне IE: http://domainhelp.search.com/search?q=kaspersky&d=www.www.kaspersky.com.com

4) на микрософт апдейт успешно залез и все апдейты якобы установились (сейчас проверил- уже не пускает)

5) При установке скачанного на рабочий стол ComboFix выскочило окошко как на скрине и комп перегрузился. Над окошком выключения думая около минуты. После перезагрузки ComboFix успешно провел проверку и сгенерил лог, который и прилагаю.

log.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Небольшое уточнение - переименование AVZ и HJT, а также скачивание полиморфов приводит к ровно такому же результату - их появлению на доли секунды.

Ссылка на комментарий
Поделиться на другие сайты

 Лог RSIT сделайте еще. МБАМ нашел что нибудь? 

скачал RSIT - та же история, мелькает на доли секунды.

когда сканировал MBAM вчера - нашел только таблетку фотошопа, а сегодняшний повторный скан приаттачил. все найденное в реестре - убил, но оно все снова ведь вылезет если причину не прибить.

Еще вспомнил - каспер почему-то не стартует в safemode, иконка в трее появляется - левый клик и она исчезает, правый - вываливается нго контекстное меню и выбор любого пункта также приводид к закрытию. KAV2010

mbam-log-2010-10-17 (07-59-25).txt

mbam-log-2010-10-17 (07-59-25).txt

Ссылка на комментарий
Поделиться на другие сайты

Alex_MSU

Здравствуйте. удалить с помощью MBAM все следующие объекты (для удаления нужно повторное сканирование), кроме

C:\Program Files\Adobe\Adobe Photoshop CS4\Patch.exe (Trojan.Agent) -> No action taken.

Что с проблемой?

Выполните логи AVZ и RSIT.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте, дела такие:

1) RSIT, AVZ, HJT не запускаются ни в сэйф, ни в обычном.

2) ComboFix не стартует в сэйф и начал через раз запускаться в обычном.

3) Обнаружил что зараза убила все контрольные точки восстановления, сейчас отключил его.

4) Сразу после старта в процессах то появляются, то исчезают процессы iexplorer.exe и route.exe. Никаких окон IE при этом я, естественно, не открываю. Еще обнаружил увеличенный в размерах от-но стандартного wininet.dll в system32. Попытка переписать туда обычный приводит к тому, что через пару сек. зараза снова перезаписывает поверх свой.

Возможно это не спортивно, но хочу снять винт и подцепить к другой машине как внешний usb.

1) Какова вероятность замочить заразу KAV-ом 2010 с последними базами и включенной онлайн защитой?

2) Как минимизировать вероятность инфецировать вторую машину при такой процедуре?

Спасибо

Ссылка на комментарий
Поделиться на другие сайты

Вставьте диск с дистрибутивом windows в привод

в коммандной строке выполните 

sfc /scannow

Спасибо, попробую. Правда у меня нет дистриба в таком виде, есть только скрытая партиция на винте. IBM, мать его. И есть еще папка I386 в корне C: насколько понимаю это тоже что-то вроде резервной копии винды.

В общем, сканирование в режиме USB-винта с подключением к другой машине ничего не дало - каспер сказал полный OK. Ручной поиск по слову route.exe дал такой результат:

Спасибо, попробую. Правда у меня нет дистриба в таком виде, есть только скрытая партиция на винте. IBM, мать его. И есть еще папка I386 в корне C: насколько понимаю это тоже что-то вроде резервной копии винды.

В общем, сканирование в режиме USB-винта с подключением к другой машине ничего не дало - каспер сказал полный OK. Ручной поиск по слову route.exe дал такой результат:

Прошу прощения, натупил со скрином, вот нормальный

post-95963-048330500 1287376185_thumb.jp

post-95963-007724100 1287376353_thumb.jp

post-95963-048330500 1287376185_thumb.jp

post-95963-007724100 1287376353_thumb.jp

Ссылка на комментарий
Поделиться на другие сайты

Вставьте диск с дистрибутивом windows в привод

в коммандной строке выполните 

sfc /scannow

Сорри, не понял. Загрузиться с дистриба или загрузиться с винта и вставив диск выполнить команду?

Если загрузиться с дистриба, то не нашел где там командная строка.

Ссылка на комментарий
Поделиться на другие сайты

Вставьте диск с дистрибутивом windows в привод

в коммандной строке выполните 

sfc /scannow

Дотюкал. Выполнил, после проверки молча закрылась. Что дальше?

Ссылка на комментарий
Поделиться на другие сайты

Что спроблемами? Логи повторите.

Вечер добрый! Логи кого-чего?

1) AVZ RSIT HJT - не запускаются.

сейчас почистил все темпы + точки восстановления кроме созданной вручную. Поставил cure it в безопасном - быстрая проверка ничего не нашла. Который час идет полная. Походу тоже ничего не найдет.

Снова гнать ComboFix?

Ссылка на комментарий
Поделиться на другие сайты

1. Скажите, эта проблема возникает только с программами AVZ, HJT RSIT (то, что связано с безопасностью)? Остальные программы, которыми Вы пользуетесь, работают как обычно (если опустить некоторые заметки о Касперском и пр.)?

2. yrlwahu.exe, как я поняла, был удален с помощью F-Secure? (удаляйте, если нет).

3. wininet.dll - не нужно удалять (уверенности в том, что он заражен - нет). Если под увеличением в размерах Вы имели в виду отличие от файла в папке, напр., "\i386" - то это может быть нормальным.

iexplorE.exe и route.exe - файлы Windows (iexplorer.exe - нет), плохо если ими кто-то пользуется без Вашего ведома.

4. Почему не работают антивирусные сайты - показал MBAM (у Вас испорчена таблица маршрутизации TCP/IP - это не страшно и легко исправляется; но чтобы исправление не было бесполезным - сначала нужно удалить виновника).

5. Попробуйте скачать OSAM, чтобы посмотреть, запуститься ли он.

Скачайте, распакуйте и запустите файл osam.exe.

Если он точно также закроется, то запустите его с помощью командной строки с параметром -s: "путь к папке\osam.exe" -s

И после этого отпишитесь: удалось ли программе запуститься или она также была убита.

(если всё-таки OSAM запуститься - пожалуйста, не отключайте с его помощью никаких объектов, масштабное тестирование этой сборки еще не завершено. Но обычное сканирование никакого вреда Вам не принесет). Пока просто проверяем запуск и возможность проверки. Поскольку очень сложно Вам помочь - о системе известно слишком мало.

  • Upvote 2
Ссылка на комментарий
Поделиться на другие сайты

Saule,

Спасибо, закончу для формального порядка бесполезную проверку CureIT, и приступлю к Вашим рекомендациям. Сразу же отпишусь.

Ссылка на комментарий
Поделиться на другие сайты

К сожалению, я пропустила Ваш combo-log :)

Там прямо в самом начале уже мелькают записи, которых не должно быть:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\3362b720.exe,c:\windows\system32\yrlwahu.exe,"

Интересно, они еще живы?

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты

К сожалению, я пропустила Ваш combo-log :)

Там прямо в самом начале уже мелькают записи, которых не должно быть:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\3362b720.exe,c:\windows\system32\yrlwahu.exe,"

Интересно, они еще живы?

Интересно, что этих файлов нет в логе вверху, среди записанных за последний месяц. А заражение случилось 15 октября (не раньше), 100%

Насчет живы ли- сейчас посмотрю. Их если что попытаться ручками прибить или следовать Вашей первой рекомендации с OSAM?

Ссылка на комментарий
Поделиться на другие сайты

Saule, рад приветствовать!

Давайте попробуем так (если ничего из вышеперечисленного не сработало):

Попробуйте переименовать combofix.exe во что-то нейтральное (explorer.exe или trojan.pif) и выполнить скрипт:

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::File::c:\windows\system32\3362b720.exec:\windows\system32\yrlwahu.exeDriver::Folder::c:\program files\Common Files\64B8394FaRegistry::[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]"Userinit"="c:\windows\system32\userinit.exe,"RegLock::[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}][HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation][HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32][HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib][HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}][HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32][HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты

AkoK, Saule

Спасибо, сейчас выполню.

Итак, перегрузился с сейфа на обычный, весьма шустрый бук тупил минут 5, вылазя из сэйфа. Сразу на старте залез в task-manager там прыгает целая куча route.exe иногда 1-2, иногда штук 5, прыгают туда-сюда по списку процессов. Через пару минут все успокоилось (бук отрублен от сети). Сейчас наблюдаю 5 штук tbkern32.exe висящих вверху списка и штук 8 svchost.exe ближе к концу списка.

с:\windows\system32\3362b720.exe

не нашел поиском

c:\windows\system32\yrlwahu.exe

живой

Ссылка на комментарий
Поделиться на другие сайты

Итак, Saule,

Не загружаются: RSIT, HJT, AVZ, к ним примкнул OSAM, в том числе с параметром -s. Если окошки первых трех мелькают на секунду и закрываются то при попытке запуска OSAM в обоих случаях выскакивает одинаковая ошибка: The application failed to initialize properly (0xc0000034). Click ok to terminate application.

Ссылка на комментарий
Поделиться на другие сайты

AkoK,

Поскольку я удалял ComboFix (действовал по правилам), сейчас ставлю его заново. Переименовал в trojan.pef После сообщения о липовых combo-fix сайтах и моего кликания по yes, он немного подумал и выдал такое же окошечко как на скрине в моем втором посте, после чего машина ушла в перезагрузку

Ссылка на комментарий
Поделиться на другие сайты

при попытке запуска OSAM...

Эх, я Вам библиотек не додала... и уже уехала домой((

Попробуйте эту версию, если понадобиться (без параметра -s)

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...