akoK Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 Alex_MSU, мой скрипт не изменился. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Alex_MSU, мой скрипт не изменился. Перетащил, выскочило окошко такого примерно содержания: nimcmd вызвало ошибку и будет закрыто. отправлять отчет в микрософт да-нет. после повторного перетаскивания скрипта - запустилось. сейчас сканирует на фоне висящего точно такого же сообщения только уже про windows explorer. удалило c:\windows\system32\yrlwahu.exe и папку c:\program files\Common Files\64B8394Fa поехало в перегруз Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 В combo-логе записи в Userinit остались. И файл yrlwahu.exe жив. Вы упоменали, что его также нашел F-Secure (у Вас на скриншоте) - F-Secure его тогда не удалил или удалить не получилось? И еще, Вы выполнили скрипт akoK'а? Что касается OSAM'а. Если есть желание, то в разделе Logon кликнете, пожалуйста, по следующей записи правой кнопки мыши и выберите "Scan using Online Malware Scanner" - в появившемся окошке жмите Next->Next->... до конца (этот файл отошлется на проверку): "Userinit" - "BitDefender" - C:\WINDOWS\system32\yrlwahu.exe Прежде чем убивать, я бы его на всякий случай посмотрела (это точно вирус, просто интересно что именно он делает, чтобы быть в курсе последствий удаления). ------------- Пока писала - Вы уже ответили. Удачи :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 В combo-логе записи в Userinit остались. И файл yrlwahu.exe жив. Вы упоменали, что его также нашел F-Secure (у Вас на скриншоте) - F-Secure его тогда не удалил или удалить не получилось? И еще, Вы выполнили скрипт akoK'а? Что касается OSAM'а. Если есть желание, то в разделе Logon кликнете, пожалуйста, по следующей записи правой кнопки мыши и выберите "Scan using Online Malware Scanner" - в появившемся окошке жмите Next->Next->... до конца (этот файл отошлется на проверку): "Userinit" - "BitDefender" - C:\WINDOWS\system32\yrlwahu.exe Прежде чем убивать, я бы его на всякий случай посмотрела (это точно вирус, просто интересно что именно он делает, чтобы быть в курсе последствий удаления). ------------- Пока писала - Вы уже ответили. Удачи :) Saule, спасибо, жаль Вы опоздали, возможно это было что-то интересное для науки -) 1) F-secure не смог удалить найденыша, причину точно сформулировать не могу, проверял диск на машине с W7 и юзерскими правами (к счастью, наверное -)) Заметил, что когда я хотел убить его руками, винда спросила а админ ли я? -) (и это на диске, подключенном через usb, как она вообще просекла, что я ковыряюсь в системной папке) 2) Последствия как минимум такие - запустились AVZ и HJT. Лог Combofix'a 2: yrlwahu.exe уже погиб смертью храбрых, и о чудо avz стал запускаться log.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Folder::c:\program files\Common Files\64B83AB7a После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>virusnet.info с указанием в теме письма ссылки на тему. (at=@) Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 Saule, спасибо, жаль Вы опоздали, возможно это было что-то интересное для науки -) Ничего страшного. Главное, что Вы живы и есть прогресс. (к тому же, похожие файлы уже нашла - удивительно, что такая маленькая козявка наделала у Вас столько беспорядка) Удачи Вам и больше не болейте :) 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Folder::c:\program files\Common Files\64B83AB7a После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>virusnet.info с указанием в теме письма ссылки на тему. (at=@) Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Архив отправил, как Вы указали, Лог ниже, удаляю ComboFix ComboFix.zip ComboFix.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 18 октября, 2010 Автор Жалоба Поделиться Опубликовано 18 октября, 2010 Ничего страшного. Главное, что Вы живы и есть прогресс. (к тому же, похожие файлы уже нашла - удивительно, что такая маленькая козявка наделала у Вас столько беспорядка) Удачи Вам и больше не болейте :) Спасибо за помощь и пожелания -) Понять бы еще, не успела ли это козявка что-нибудь куда-нибудь наотправлять, и вообще чем она занималась... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 октября, 2010 Жалоба Поделиться Опубликовано 18 октября, 2010 Спасибо за помощь и пожелания -) Понять бы еще, не успела ли это козявка что-нибудь куда-нибудь наотправлять, и вообще чем она занималась... Подозреваю, что у Вас всё-таки был "backdoor" (Касперский, скорее всего, после добавления в свои базы классифицирует его как "Backdoor.Win32.Shiz", но на 100% сказать не могу, так как Ваш файл я всё-таки не видела). Скорее всего, этот backdoor создавал исполняемый код в памяти svchost.exe и, следовательно, мог выполнять нужные ему действия от лица этого процесса. 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 октября, 2010 Жалоба Поделиться Опубликовано 19 октября, 2010 В карантине было: yrlwahu.exe - Trojan.PWS.Ibank.230 Смените все важные пароли. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 19 октября, 2010 Автор Жалоба Поделиться Опубликовано 19 октября, 2010 В карантине было: yrlwahu.exe - Trojan.PWS.Ibank.230 Смените все важные пароли. Спасибо, за предупреждение, сменил. Вот запоздавшие логи rsit и avz virusinfo_cure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_cure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex_MSU Опубликовано 19 октября, 2010 Автор Жалоба Поделиться Опубликовано 19 октября, 2010 Спасибо, за предупреждение, сменил. Вот запоздавшие логи rsit и avz Ради интереса проверил каспером файл yrlwahu.exe.vir - каспер сказал все ok...в чем засада? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 19 октября, 2010 Жалоба Поделиться Опубликовано 19 октября, 2010 yrlwahu.exe - Trojan.PWS.Ibank.230 Мечтаю стать телепатом. Пока не получается :doh: Ради интереса проверил каспером файл yrlwahu.exe.vir - каспер сказал все ok...в чем засада? Alex, просто обновите антивирус. Детект должны были уже добавить (Касперский ничего не нашел, потому что эта malware на момент сканирования еще не была добавлена в его антивирусные базы). Cсылка на сканирование файла на VT: http://www.virustotal.com/file-scan/report.html?id=b380a90f5e130c9cb60258c5723e1d0f79edf05572bade4fb7a1c60c779b3b10-1287522785 Пользователь VT-сообщества как раз оставил к нему комментарий с Вашими симптомами: блокирует http... "левые" маршруты. Касперский назвал его "Trojan.Win32.Jorik.Shiz", угадала только последние четыре буквы :doh: 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.