Тот же system.exe
Доброго времени суток
Проблема такая же как и в нескольких предыдущих темах:
1. постоянная ошибка system.exe
2. дата на 1 января 2070 (восстановил на правильную сразу, как заметил - думал просто глюк)
3. симантек 10.2 сдох сразу
4. касперский немного посопротивлялся, но ничего сделать не смог
5. симантек с более новым обновлением сопротивлялся дольше, нашел вирус hacktool.rootkit и несколько авторанеров, но все-равно помер
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-8013742233-8396185578-965429763-9545\mwau.exe',''); QuarantineFile('C:\WINDOWS\system32\system.exe',''); DeleteFile('C:\WINDOWS\system32\system.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-8013742233-8396185578-965429763-9545\mwau.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40487).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Сделал. Ошибка system.exe больше не появляется, в процессах тоже его нет. Но не могу с этого компьютера выйти на virusinfo.info (на другие сайты выходит нормально). Пришлось карантин архивировать вручную и высылать с другого компа.
Надо бы проверить Ваши флешки.
профиксить:
Сделайте логи с подключенной флешкой, если ей пользуетесь.Код:O4 - HKCU\..\Run: [Microsoft Windows Automatic Update] C:\RECYCLER\S-1-5-21-0682988698-0567459838-768058916-6202\mwau.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
флешек несколько (5) - три флэшки и два перенолсных харда. подключать могу только по одной. И чем защититься, чтобы с флэшки опять не заразить комп?
Этого зловреда детектит KIS...
Можно автозапуск отключить. См. тему в "Чаво".Сообщение от Fox84
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ага,понял.ушел делать. =)
пофиксил. вот логи с флешками и хардами. Что не смог подцепить - отформатировал на другом компе. Все-равно не могу выйти на вирусинфо со своего компа.
мда... Без касперского реально с ним справиться? (просто на лицензию денег нет, а демо уже не могу активировать =) )
Читайте что там написано, ни каких денег не нужно...
Ага. Понял. Еще вопрос: у меня еще несколько знакомых с такими же проблемами, если сразу запустить кидокиллер на их машинах, без проверок и исправоений AVZ и hijackit, поможет это устранить зверя?
Поможет, но если там не свежая версия. Все лаборатории нуждаются в новых образцах для доделки утилит.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде от зверя в компе избавился. Даже на вирусинфо уже вышел со своего компа. Антивирус постоянно отлавливает mwau в recycle и еще кучу всякого хлама в restore и в тэмпах. Но, вроде, успешно. Правда появилась другая проблема: невозможно включить отображение скрытых файлов и папок. Переключатель ставишь в нужное положение, жмешь ок, но ничего не меняется и переключатель возвращается в положение "не показвать...". Пропала сама собой после нескольких перезагрузок, связанных с установкой антивируса. На всякий случай высылаю последние логи.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Сообщите что со скрытыми файлами...Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Проблема со скрытыми файлами пропала сама собой. Сейчас они отображаются нормально. Скрипт еще не выполнял, но значение параметра, указанного в скрипте уже установлено на "1".
Желательно отключить "Автозапуск" у флешек.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уже отключено. В процессе лечения отключил.
Добавлено через 2 минуты
Кстати. Вылечил еще один комп на стадии "только что схватил" путем загрузки в ERD Commander и удаления из-под него system.exe и всех папок из recycler и restore
Последний раз редактировалось Fox84; 27.02.2009 в 22:54. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-8013742233-8396185578-965429763-9545\mwau.exe - Trojan.Win32.Agent2.eeg
- c:\windows\system32\system.exe - Trojan.Win32.Agent2.eeg
Уважаемый(ая) Fox84, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
