Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Не запускается AVZ, HJT и сайты антивирусов

Alex_MSU
 Поделиться

Рекомендуемые сообщения

Alex_MSU

Alex_MSU

Опубликовано
  • Автор
Опубликовано

Alex_MSU, мой скрипт не изменился.

Перетащил, выскочило окошко такого примерно содержания: nimcmd вызвало ошибку и будет закрыто. отправлять отчет в микрософт да-нет. после повторного перетаскивания скрипта - запустилось. сейчас сканирует на фоне висящего точно такого же сообщения только уже про windows explorer.

удалило c:\windows\system32\yrlwahu.exe и папку c:\program files\Common Files\64B8394Fa поехало в перегруз

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано

В combo-логе записи в Userinit остались. И файл yrlwahu.exe жив.

Вы упоменали, что его также нашел F-Secure (у Вас на скриншоте) - F-Secure его тогда не удалил или удалить не получилось?

И еще, Вы выполнили скрипт akoK'а?

Что касается OSAM'а. Если есть желание, то в разделе Logon кликнете, пожалуйста, по следующей записи правой кнопки мыши и выберите "Scan using Online Malware Scanner" - в появившемся окошке жмите Next->Next->... до конца (этот файл отошлется на проверку):

"Userinit" - "BitDefender" - C:\WINDOWS\system32\yrlwahu.exe

Прежде чем убивать, я бы его на всякий случай посмотрела (это точно вирус, просто интересно что именно он делает, чтобы быть в курсе последствий удаления).

-------------

Пока писала - Вы уже ответили. Удачи :)

Ссылка на комментарий
Поделиться на другие сайты
Alex_MSU

Alex_MSU

Опубликовано
  • Автор
Опубликовано

В combo-логе записи в Userinit остались. И файл yrlwahu.exe жив.

Вы упоменали, что его также нашел F-Secure (у Вас на скриншоте) - F-Secure его тогда не удалил или удалить не получилось?

И еще, Вы выполнили скрипт akoK'а?

Что касается OSAM'а. Если есть желание, то в разделе Logon кликнете, пожалуйста, по следующей записи правой кнопки мыши и выберите "Scan using Online Malware Scanner" - в появившемся окошке жмите Next->Next->... до конца (этот файл отошлется на проверку):

"Userinit" - "BitDefender" - C:\WINDOWS\system32\yrlwahu.exe

Прежде чем убивать, я бы его на всякий случай посмотрела (это точно вирус, просто интересно что именно он делает, чтобы быть в курсе последствий удаления).

-------------

Пока писала - Вы уже ответили. Удачи :)

Saule, спасибо, жаль Вы опоздали, возможно это было что-то интересное для науки -)

1) F-secure не смог удалить найденыша, причину точно сформулировать не могу, проверял диск на машине с W7 и юзерскими правами (к счастью, наверное -)) Заметил, что когда я хотел убить его руками, винда спросила а админ ли я? -) (и это на диске, подключенном через usb, как она вообще просекла, что я ковыряюсь в системной папке)

2) Последствия как минимум такие - запустились AVZ и HJT.

Лог Combofix'a 2:

yrlwahu.exe уже погиб смертью храбрых, и о чудо avz стал запускаться

log.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

Folder::c:\program files\Common Files\64B83AB7a

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>virusnet.info с указанием в теме письма ссылки на тему. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

combofix-uninstall.jpg

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано

Saule, спасибо, жаль Вы опоздали, возможно это было что-то интересное для науки -)

Ничего страшного. Главное, что Вы живы и есть прогресс.

(к тому же, похожие файлы уже нашла - удивительно, что такая маленькая козявка наделала у Вас столько беспорядка)

Удачи Вам и больше не болейте :)

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты
Alex_MSU

Alex_MSU

Опубликовано
  • Автор
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

Folder::c:\program files\Common Files\64B83AB7a

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>virusnet.info с указанием в теме письма ссылки на тему. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

combofix-uninstall.jpg

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Архив отправил, как Вы указали,

Лог ниже, удаляю ComboFix

ComboFix.zip

ComboFix.zip

Ссылка на комментарий
Поделиться на другие сайты
Alex_MSU

Alex_MSU

Опубликовано
  • Автор
Опубликовано

Ничего страшного. Главное, что Вы живы и есть прогресс.

(к тому же, похожие файлы уже нашла - удивительно, что такая маленькая козявка наделала у Вас столько беспорядка)

Удачи Вам и больше не болейте :)

Спасибо за помощь и пожелания -) Понять бы еще, не успела ли это козявка что-нибудь куда-нибудь наотправлять, и вообще чем она занималась...

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано

Спасибо за помощь и пожелания -) Понять бы еще, не успела ли это козявка что-нибудь куда-нибудь наотправлять, и вообще чем она занималась...

Подозреваю, что у Вас всё-таки был "backdoor" (Касперский, скорее всего, после добавления в свои базы классифицирует его как "Backdoor.Win32.Shiz", но на 100% сказать не могу, так как Ваш файл я всё-таки не видела). Скорее всего, этот backdoor создавал исполняемый код в памяти svchost.exe и, следовательно, мог выполнять нужные ему действия от лица этого процесса.

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты
Alex_MSU

Alex_MSU

Опубликовано
  • Автор
Опубликовано

В карантине было:

yrlwahu.exe - Trojan.PWS.Ibank.230

Смените все важные пароли.

Спасибо, за предупреждение, сменил.

Вот запоздавшие логи rsit и avz

virusinfo_cure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_cure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Ссылка на комментарий
Поделиться на другие сайты
Alex_MSU

Alex_MSU

Опубликовано
  • Автор
Опубликовано

Спасибо, за предупреждение, сменил.

Вот запоздавшие логи rsit и avz

Ради интереса проверил каспером файл yrlwahu.exe.vir - каспер сказал все ok...в чем засада?

Ссылка на комментарий
Поделиться на другие сайты
Saule

Saule

Опубликовано
Опубликовано

yrlwahu.exe - Trojan.PWS.Ibank.230

Мечтаю стать телепатом. Пока не получается :doh:

Ради интереса проверил каспером файл yrlwahu.exe.vir - каспер сказал все ok...в чем засада?

Alex, просто обновите антивирус. Детект должны были уже добавить (Касперский ничего не нашел, потому что эта malware на момент сканирования еще не была добавлена в его антивирусные базы).

Cсылка на сканирование файла на VT: http://www.virustotal.com/file-scan/report.html?id=b380a90f5e130c9cb60258c5723e1d0f79edf05572bade4fb7a1c60c779b3b10-1287522785

Пользователь VT-сообщества как раз оставил к нему комментарий с Вашими симптомами: блокирует http... "левые" маршруты.

Касперский назвал его "Trojan.Win32.Jorik.Shiz", угадала только последние четыре буквы :doh:

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...