-
Junior Member
- Вес репутации
- 57
Yomimo.cc - возможно оно, возможно чтото другое
Систему грузит на 99% процесс svchost.exe, при завершении процесса система вырубается в течение 1 минуты (выскакивает соответствующее окошко с ошибкой).
ДрВеб обнаруживает периодически yomimo.cc и удаляет, но толку мало. Прилагаю логи какие могу приложить, на новом авз 3 скрипт вызывает синий экран (или не он, мож совпадение), поэтому прилагаю логи от авз 4.32 - их тож еле еле сделал, потому что из-за вышеуказанного процесса вся система периодически виснет.
Восстановление загрузки в safemode с помощью проги avz не выходит - окошко просто закрывается.
Спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 57
Итак, удалось немного разгрузить систему и сделать 2 стандартный скрипт на обновленном авз, мне помогло:
1) установление приоритета авз в процессах на высокий (у процесса svchost.exe стоит средний приоритет, поэтому ему пришлось уступить проц)
2) замораживание процесса svchost.exe в проге process explorer (кнопка suspend)
Лог станд. скрипта 2 прилагаю, как будет готов лог станд. скрипта 3 приложу...
Готов станд. скрипт 3, прилагаю.
Надеюсь на оперативную помощь.
Последний раз редактировалось Sality; 25.09.2010 в 13:25.
-
Junior Member
- Вес репутации
- 57
7 часов с момента запроса помощи и никаких ответов, в других темах по 6-7 сообщений через час-два после обращения за помощью.
Странно, мож я логи неправильно приложил или ещё чтото упустил?
Последний раз редактировалось Sality; 25.09.2010 в 19:40.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ в бьезопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('O:\WINDOWS\system32\drivers\fipsnt.sys','');
QuarantineFile('O:\WINDOWS\system32\drivers\aec.sys','');
QuarantineFile('O:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
DeleteFile('O:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\monmvr32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 57
К сожалению, безопасный режим у меня не пашет и восстановить его не удаётся. Запустил скрипт в этом "нормальном" режиме. После этого система перестала запускаться, постоянно выскакивали BSOD'ы с упоминанием aec.sys
Запуститься удалось только с "загрузка последней удачной конфигурации". Я понимаю, что моя ошибка запускать скрипт в нормальном режиме, но других вариантов пока нет. У меня есть вторая ОС - Вин7, может запустить скрипт с нее?
Файл карантина прислал. Жду дальнейших указаний, спасибо.
Файл сохранён как 100925_210810_quarantine_4c9e2c7abe1c1.zip
Размер файла 23997
MD5 552ddb35e92fd45d678e5f8559c98422
-
Файл O:\WINDOWS\system32\drivers\aec.sys надо заменить на чистый с дистрибутива.
Добавлено через 2 минуты
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('O:\Documents and Settings\All Users\Документы\Settings\cbss.dll','');
DeleteFile('O:\Documents and Settings\All Users\Документы\Settings\cbss.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- После лечения рекомендуется сменить пароли
Последний раз редактировалось olejah; 25.09.2010 в 21:33.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 57
Сделано.
Файл сохранён как 100925_220338_quarantine_4c9e397a068ff.zip
Размер файла 54355
MD5 7b4612784db24cb941d583c4cfbfaeb8
-
-
-
Junior Member
- Вес репутации
- 57
Прилагаю только 2 станд. скрипт, на 3ем у меня вылетел BSOD: IRQL_NOT_LESS_OR_EQUAL
Как разрулить ситуацию с BSOD'ами? До вируса у меня их не было.
Дистрибутив сейчас недоступен, в инете я файл aec.sys не нашёл, можете ли Вы его выложить здесь на форуме?
Ещё несколько BSOD'ов, теперь ссылаются на kl1.sys
Что делать?
Забыл упомянуть, диск С: с ОС переполнен, свободно 20-30мб, попытка очистки прогой FreeSpacer не помогает, видимо вирус бесконечно создает многократно вложенные папки Application data\Application data\Application data\...\Temp
Последний раз редактировалось Sality; 26.09.2010 в 01:57.
-
У меня во вложении запакованный файл aec.sys, возьмите его, распакуйте и замените им заражённый файл, так как сказано здесь - http://virusinfo.info/showthread.php?t=51654. После этого - ждём новые логи.
Последний раз редактировалось olejah; 29.10.2010 в 18:16.
-
-
Junior Member
- Вес репутации
- 57
Распаковать файл не удалось - ошибка can not open output file. Переименовал на аес1 и закинул в папку drivers, но не думаю что так он будет работать, переименовать в аес не выходит (ошибка: не удается провести чтение с файла или диска).
Ещё, когда я загрузился с Вин7 у меня показало, что на диске С: 1гиг свободного места, а тут с ХР показывает 49 мб и постоянно уменьшается - кстати, в BSOD'е указывается, что возможной причиной появления - недостаточность свободного места.
ДрВеб все ещё продолжает убивать файл yomimo в папке system32, только теперь расширение .dll
Пытаюсь сделать логи..
Последний раз редактировалось Sality; 26.09.2010 в 12:27.
-
Замену файла можно иногда произвести в безопасном режиме. Если это невозможно - то с любого Live CD (BartPE, Knoppix) либо в консоли восстановления (см. ниже).
Так заменять пробовали?
-
-
Junior Member
- Вес репутации
- 57
Как я уже говорил, безопасный режим у меня не пашет, видимо вирус убил. Восстановить безопасный режим авз не может - когда запускаю восстановление, через несколько секунд авз вырубается. Я попробую заменить через Вин7 или консоль восстановления (она не принимала у меня пароль, теперь я врубил автовход без ввода пароля). Сейчас перезагружусь попробую. Извините, что так долго все делаю, просто постоянные BSOD'ы..
-
Сообщение от
Sality
Восстановить безопасный режим авз не может - когда запускаю восстановление, через несколько секунд авз вырубается.
Скачайте и запустите утилиту SafeBootKeyRepair. Перезапустите компьютер и попробуйте войти в безопасный режим снова.
-
-
Junior Member
- Вес репутации
- 57
Переименовал аес1 в аес в Вин7. Сделал логи (Станд. скрипт 3 делается очень долго - 40мин, поэтому было бы неплохо, если в авз была функция - продолжения станд.скрипта после внезапной перезагрузки). Прилагаю.
Вышеуказанную Вами прогу тож скачаю, т.к. безопасный режим мне тоже нужен. Спасибо за помощь и терпение.
.....
Очередной BSOD IRQL_NOT_LESS_OR_EQUAL вылетел при запуске вышеуказанной проги по восстановлению safemode
Последний раз редактировалось Sality; 26.09.2010 в 14:55.
-
Файл aec.sys из-под семерки почему не заменили?
Еще и Кидо вдобавок к Вам лезет. Читайте и выполняйте http://support.kaspersky.ru/kis2009/error?qid=208636215
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Не дождался я тогда ответа хелпера, переустановил винду. Но виры не дремлют, об этом в новой теме...
Но вам всё равно спасибо, thyrex, откопали мою темку, не оставили безответной
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- o:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\monmvr32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Kazy.819, AVAST4: Win32:Crypt-HSZ [Drp] )
- o:\\documents and settings\\all users\\документы\\settings\\cbss.dll - Trojan-Downloader.Win32.Piker.cpd ( DrWEB: Trojan.DownLoad2.16494, BitDefender: Trojan.Generic.4845434, AVAST4: Win32:Malware-gen )
-