yoqmm.cc3

Printable View

02.10.2010, 12:31
mankiz

yoqmm.cc3

неубиваемый файл в /system32
после удаления моментально восстанавливает себя
есть идеи что это и как избавиться?
win serv 2003 r2
02.10.2010, 15:42
Никита Соловьев

[url]http://virusinfo.info/showthread.php?t=1235[/url]

Сделайте virusinfo_syscheck.zip и лог hijackthis
03.10.2010, 14:45
mankiz

ОК В понедельник пришлю.
03.10.2010, 22:43
thyrex

А заодно и это проделайте [url]http://support.kaspersky.ru/kis2009/error?qid=208636215[/url]
04.10.2010, 08:31
mankiz

Вот лог Hijackthis и отчет AVZ
04.10.2010, 17:11
Никита Соловьев

Пофиксите в hijackthis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,[/CODE]

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\yoqmm.cc3','');
QuarantineFile('C:\WINDOWS\system32\WmdmPmSN.cmd','');
DeleteService('darksheii');
QuarantineFile('C:\WINDOWS\system32\drivers\morjqn.sys','');
DeleteService('amsint32');
QuarantineFile('c:\windows\system32\wmdmpmsn.cmd','');
QuarantineFile('c:\windows\system32\yoqmm.cc3','');
DeleteFile('c:\windows\system32\yoqmm.cc3');
DeleteFile('c:\windows\system32\wmdmpmsn.cmd');
DeleteFile('C:\WINDOWS\system32\drivers\morjqn.sys');
DeleteFile('C:\WINDOWS\system32\WmdmPmSN.cmd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\yoqmm.cc3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HidServ\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(False);
end.
[/code]
После выполнения скрипта компьютер перезагрузится!!!

Выполните скрипт:

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Сделайте новые логи
05.10.2010, 14:20
mankiz

ОК Сегодня займусь.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 20 минут[/I][/B][/color][/size]

Выполнили скрип. Результат впечатляет. Легли все пользователи, включая администратора. На сервер не пускает. Что делать в этой ситуации?
06.10.2010, 10:12
light59

В папке avz4\Backup\ есть бакапы реестра после работы AVZ, попробуйте их импортировать в свою систему.
Но для начала в livecd можно проверить значение параметра Userinit реестра
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]там должно быть C:\WINDOWS\system32\userinit.exe, ( с запятой)
06.10.2010, 15:05
mankiz

Проблема действительно оказалось в userinit Правка этой ветки реестра помогла. И да, этот пакостный файл yoqmm.cc3 исчез. Спасибо за скрипт.
06.10.2010, 18:31
Никита Соловьев

Приношу свои извинения за возникшие нерпиятности.

Сделайте новый virusinfo_syscheck.zip
07.10.2010, 12:52
mankiz

Новый файлик с логами AVZ
07.10.2010, 14:10
Bratez

Выполните скрипт в AVZ (зачистка мелкого мусора):
[code]
begin
RegKeyParamDel('HKEY_USERS','S-1-5-21-364228625-2339334119-87826242-1031\Software\Microsoft\Windows\CurrentVersion\Run','explorer');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaUpdateService\Parameters','ServiceDll');
RegKeyParamDel('HKEY_USERS','S-1-5-21-364228625-2339334119-87826242-1031\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
end.[/code]
Больше ничего плохого не видно.
11.10.2010, 07:48
mankiz

Вроде сервак получше себя стал чувствовать. Спасибо всем, кто помог.