Показано с 1 по 18 из 18.

Yomimo.cc - возможно оно, возможно чтото другое (заявка № 88717)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56

    Exclamation Yomimo.cc - возможно оно, возможно чтото другое

    Систему грузит на 99% процесс svchost.exe, при завершении процесса система вырубается в течение 1 минуты (выскакивает соответствующее окошко с ошибкой).
    ДрВеб обнаруживает периодически yomimo.cc и удаляет, но толку мало. Прилагаю логи какие могу приложить, на новом авз 3 скрипт вызывает синий экран (или не он, мож совпадение), поэтому прилагаю логи от авз 4.32 - их тож еле еле сделал, потому что из-за вышеуказанного процесса вся система периодически виснет.
    Восстановление загрузки в safemode с помощью проги avz не выходит - окошко просто закрывается.
    Спасибо за помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    Итак, удалось немного разгрузить систему и сделать 2 стандартный скрипт на обновленном авз, мне помогло:
    1) установление приоритета авз в процессах на высокий (у процесса svchost.exe стоит средний приоритет, поэтому ему пришлось уступить проц)
    2) замораживание процесса svchost.exe в проге process explorer (кнопка suspend)
    Лог станд. скрипта 2 прилагаю, как будет готов лог станд. скрипта 3 приложу...
    Готов станд. скрипт 3, прилагаю.
    Надеюсь на оперативную помощь.
    Последний раз редактировалось Sality; 25.09.2010 в 13:25.

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    7 часов с момента запроса помощи и никаких ответов, в других темах по 6-7 сообщений через час-два после обращения за помощью.
    Странно, мож я логи неправильно приложил или ещё чтото упустил?
    Последний раз редактировалось Sality; 25.09.2010 в 19:40.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ в бьезопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('O:\WINDOWS\system32\drivers\fipsnt.sys','');
     QuarantineFile('O:\WINDOWS\system32\drivers\aec.sys','');   
     QuarantineFile('O:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
     DeleteFile('O:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\monmvr32.exe');      
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  6. #5
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    К сожалению, безопасный режим у меня не пашет и восстановить его не удаётся. Запустил скрипт в этом "нормальном" режиме. После этого система перестала запускаться, постоянно выскакивали BSOD'ы с упоминанием aec.sys
    Запуститься удалось только с "загрузка последней удачной конфигурации". Я понимаю, что моя ошибка запускать скрипт в нормальном режиме, но других вариантов пока нет. У меня есть вторая ОС - Вин7, может запустить скрипт с нее?
    Файл карантина прислал. Жду дальнейших указаний, спасибо.

    Файл сохранён как 100925_210810_quarantine_4c9e2c7abe1c1.zip
    Размер файла 23997
    MD5 552ddb35e92fd45d678e5f8559c98422

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Файл O:\WINDOWS\system32\drivers\aec.sys надо заменить на чистый с дистрибутива.

    Добавлено через 2 минуты

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('O:\Documents and Settings\All Users\Документы\Settings\cbss.dll','');
     DeleteFile('O:\Documents and Settings\All Users\Документы\Settings\cbss.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg','DLLName');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - После лечения рекомендуется сменить пароли
    Последний раз редактировалось olejah; 25.09.2010 в 21:33. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    Сделано.
    Файл сохранён как 100925_220338_quarantine_4c9e397a068ff.zip
    Размер файла 54355
    MD5 7b4612784db24cb941d583c4cfbfaeb8

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    Прилагаю только 2 станд. скрипт, на 3ем у меня вылетел BSOD: IRQL_NOT_LESS_OR_EQUAL
    Как разрулить ситуацию с BSOD'ами? До вируса у меня их не было.

    Дистрибутив сейчас недоступен, в инете я файл aec.sys не нашёл, можете ли Вы его выложить здесь на форуме?

    Ещё несколько BSOD'ов, теперь ссылаются на kl1.sys
    Что делать?

    Забыл упомянуть, диск С: с ОС переполнен, свободно 20-30мб, попытка очистки прогой FreeSpacer не помогает, видимо вирус бесконечно создает многократно вложенные папки Application data\Application data\Application data\...\Temp
    Последний раз редактировалось Sality; 26.09.2010 в 01:57.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    У меня во вложении запакованный файл aec.sys, возьмите его, распакуйте и замените им заражённый файл, так как сказано здесь - http://virusinfo.info/showthread.php?t=51654. После этого - ждём новые логи.
    Последний раз редактировалось olejah; 29.10.2010 в 18:16.

  12. #11
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    Распаковать файл не удалось - ошибка can not open output file. Переименовал на аес1 и закинул в папку drivers, но не думаю что так он будет работать, переименовать в аес не выходит (ошибка: не удается провести чтение с файла или диска).
    Ещё, когда я загрузился с Вин7 у меня показало, что на диске С: 1гиг свободного места, а тут с ХР показывает 49 мб и постоянно уменьшается - кстати, в BSOD'е указывается, что возможной причиной появления - недостаточность свободного места.

    ДрВеб все ещё продолжает убивать файл yomimo в папке system32, только теперь расширение .dll

    Пытаюсь сделать логи..
    Последний раз редактировалось Sality; 26.09.2010 в 12:27.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Замену файла можно иногда произвести в безопасном режиме. Если это невозможно - то с любого Live CD (BartPE, Knoppix) либо в консоли восстановления (см. ниже).
    Так заменять пробовали?

  14. #13
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    Как я уже говорил, безопасный режим у меня не пашет, видимо вирус убил. Восстановить безопасный режим авз не может - когда запускаю восстановление, через несколько секунд авз вырубается. Я попробую заменить через Вин7 или консоль восстановления (она не принимала у меня пароль, теперь я врубил автовход без ввода пароля). Сейчас перезагружусь попробую. Извините, что так долго все делаю, просто постоянные BSOD'ы..

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от Sality Посмотреть сообщение
    Восстановить безопасный режим авз не может - когда запускаю восстановление, через несколько секунд авз вырубается.
    Скачайте и запустите утилиту SafeBootKeyRepair. Перезапустите компьютер и попробуйте войти в безопасный режим снова.

  16. #15
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    Переименовал аес1 в аес в Вин7. Сделал логи (Станд. скрипт 3 делается очень долго - 40мин, поэтому было бы неплохо, если в авз была функция - продолжения станд.скрипта после внезапной перезагрузки). Прилагаю.
    Вышеуказанную Вами прогу тож скачаю, т.к. безопасный режим мне тоже нужен. Спасибо за помощь и терпение.

    .....

    Очередной BSOD IRQL_NOT_LESS_OR_EQUAL вылетел при запуске вышеуказанной проги по восстановлению safemode
    Последний раз редактировалось Sality; 26.09.2010 в 14:55.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Файл aec.sys из-под семерки почему не заменили?

    Еще и Кидо вдобавок к Вам лезет. Читайте и выполняйте http://support.kaspersky.ru/kis2009/error?qid=208636215

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    23.11.2008
    Сообщений
    80
    Вес репутации
    56
    Не дождался я тогда ответа хелпера, переустановил винду. Но виры не дремлют, об этом в новой теме...

    Но вам всё равно спасибо, thyrex, откопали мою темку, не оставили безответной

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. o:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\monmvr32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Kazy.819, AVAST4: Win32:Crypt-HSZ [Drp] )
      2. o:\\documents and settings\\all users\\документы\\settings\\cbss.dll - Trojan-Downloader.Win32.Piker.cpd ( DrWEB: Trojan.DownLoad2.16494, BitDefender: Trojan.Generic.4845434, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Sality, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 05.03.2011, 13:53
    2. Ответов: 7
      Последнее сообщение: 02.03.2010, 12:49
    3. Ответов: 1
      Последнее сообщение: 16.02.2010, 12:49
    4. Вирус или чтото другое
      От sman в разделе Microsoft Windows
      Ответов: 1
      Последнее сообщение: 26.03.2009, 22:20
    5. Key logger возможно еще чтото.
      От Lesist в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01479 seconds with 17 queries