yoqmm.cc3

[mankiz]

неубиваемый файл в /system32
после удаления моментально восстанавливает себя
есть идеи что это и как избавиться?
win serv 2003 r2

[Никита Соловьев]

http://virusinfo.info/showthread.php?t=1235

Сделайте virusinfo_syscheck.zip и лог hijackthis

[mankiz]

ОК В понедельник пришлю.

[thyrex]

А заодно и это проделайте http://support.kaspersky.ru/kis2009/error?qid=208636215

[mankiz]

Вот лог Hijackthis и отчет AVZ

[Никита Соловьев]

Пофиксите в hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\yoqmm.cc3','');
 QuarantineFile('C:\WINDOWS\system32\WmdmPmSN.cmd','');
 DeleteService('darksheii');
 QuarantineFile('C:\WINDOWS\system32\drivers\morjqn.sys','');
 DeleteService('amsint32');
 QuarantineFile('c:\windows\system32\wmdmpmsn.cmd','');
 QuarantineFile('c:\windows\system32\yoqmm.cc3','');
 DeleteFile('c:\windows\system32\yoqmm.cc3');
 DeleteFile('c:\windows\system32\wmdmpmsn.cmd');
 DeleteFile('C:\WINDOWS\system32\drivers\morjqn.sys');
 DeleteFile('C:\WINDOWS\system32\WmdmPmSN.cmd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\yoqmm.cc3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HidServ\Parameters','ServiceDll');
 BC_ImportALL;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,3,true);
 BC_Activate;
 RebootWindows(False);
end.

После выполнения скрипта компьютер перезагрузится!!!

Выполните скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи

[mankiz]

ОК Сегодня займусь.

Добавлено через 6 часов 20 минут

Выполнили скрип. Результат впечатляет. Легли все пользователи, включая администратора. На сервер не пускает. Что делать в этой ситуации?

[light59]

В папке avz4\Backup\ есть бакапы реестра после работы AVZ, попробуйте их импортировать в свою систему.
Но для начала в livecd можно проверить значение параметра Userinit реестра

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

там должно быть C:\WINDOWS\system32\userinit.exe, ( с запятой)

[mankiz]

Проблема действительно оказалось в userinit Правка этой ветки реестра помогла. И да, этот пакостный файл yoqmm.cc3 исчез. Спасибо за скрипт.

[Никита Соловьев]

Приношу свои извинения за возникшие нерпиятности.

Сделайте новый virusinfo_syscheck.zip

[mankiz]

Новый файлик с логами AVZ

[Bratez]

Выполните скрипт в AVZ (зачистка мелкого мусора):

Код:

begin
 RegKeyParamDel('HKEY_USERS','S-1-5-21-364228625-2339334119-87826242-1031\Software\Microsoft\Windows\CurrentVersion\Run','explorer');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaUpdateService\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-364228625-2339334119-87826242-1031\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
end.

Больше ничего плохого не видно.

[mankiz]

Вроде сервак получше себя стал чувствовать. Спасибо всем, кто помог.