msile.exe
машина загажена как я понял в ноль. файрвол выключен, антивирус если и ходилтут то давно. первое и что самое заметное это процесс msile.exe лезет в неимаверных количествах(30-50шт). не грузит ЦП но всю оперативу занимает полностью(ну без малого). логи прилагаю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('e:\windows2\msmacro32.exe',''); DeleteService('msile'); QuarantineFile('E:\WINDOWS2\system\msile.exe',''); QuarantineFile('E:\WINDOWS2\system\svhost.exe',''); QuarantineFile('E:\WINDOWS2\msmacro32.exe',''); QuarantineFile('E:\WINDOWS2\winoffsv.exe',''); QuarantineFile('e:\windows2\winoffsv.exe',''); QuarantineFile('c:\program files\internet explorer\winload.exe',''); QuarantineFile('e:\windows2\system32\sysmgr.exe',''); QuarantineFile('e:\windows2\system\smsc.exe',''); QuarantineFile('e:\windows2\system\netmon.exe',''); QuarantineFile('e:\windows2\system\msile.exe',''); DeleteFile('e:\windows2\system\msile.exe'); DeleteFile('e:\windows2\system\netmon.exe'); DeleteFile('e:\windows2\system\smsc.exe'); DeleteFile('e:\windows2\system\svhost.exe'); DeleteFile('e:\windows2\system32\sysmgr.exe'); DeleteFile('c:\program files\internet explorer\winload.exe'); DeleteFile('e:\windows2\winoffsv.exe'); DeleteFile('E:\WINDOWS2\winoffsv.exe'); DeleteFile('E:\WINDOWS2\msmacro32.exe'); DeleteFile('E:\WINDOWS2\system\svhost.exe'); DeleteFile('E:\WINDOWS2\system\msile.exe'); DeleteFile('e:\windows2\msmacro32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
и начинайте качать сп3 ....
не помогло вообще, т.е. так же цифровую процессы вылвзвют и в большом кол-ве эти msile.exe и что примечательно в карантине нет ничего.... тут вообще есть еще один хард на машине я провел полную проверку могу текстовой лог скинуть если это поможет или требуется. и вопросец: а мона с сп1 до сп3 обновить а не переставлять(сор я не особый профи в этом)?
Логи делайте.
С Sp1 на прыгнуть SP3 можно.
присылаю логи. нада ли выложить лог полного скана обоих хардов прогой AVZ? и повторный вопрос: а переход делается 1 патчем или несколькими?
Одним...
virusinfo_syscure.zip где?
машина ребутается если выполнять скрипт "лечение/карантин.....". вот лог текстовой токо правда того что я тут напроверял, отпрвляю 2 файлами так как 1 не лезет.
Последний раз редактировалось LinGvist; 16.04.2009 в 16:13.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); TerminateProcessByName('e:\windows2\winoffsv.exe'); TerminateProcessByName('c:\program files\internet explorer\winload.exe'); TerminateProcessByName('e:\windows2\system32\sysmgr.exe'); TerminateProcessByName('e:\windows2\system\svhost.exe'); TerminateProcessByName('e:\windows2\system\smsc.exe'); TerminateProcessByName('e:\windows2\system\netmon.exe'); TerminateProcessByName('e:\windows2\system\msile.exe'); TerminateProcessByName('e:\windows2\temp\13.exe'); DeleteFile('e:\windows2\temp\13.exe'); DeleteFile('e:\windows2\system\msile.exe'); DeleteFile('e:\windows2\system\netmon.exe'); DeleteFile('e:\windows2\system\smsc.exe'); DeleteFile('e:\windows2\system\svhost.exe'); DeleteFile('e:\windows2\system32\sysmgr.exe'); DeleteFile('c:\program files\internet explorer\winload.exe'); DeleteFile('e:\windows2\winoffsv.exe'); DeleteFile('E:\WINDOWS2\msmacro32.exe'); DeleteService('MSNETDED'); DeleteService('msile'); DeleteFileMask('c:\windows\temp', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Ставьте SP3, иначе вы у нас надолго
- Сделайте полную проверку AVPTool
- Обновите базы AVZ (файл - обновление баз)
- Повторите логи.
Добавлено через 30 секунд
Отключить!Код:Восстановление системы: включено
Последний раз редактировалось light59; 15.04.2009 в 20:51. Причина: Добавлено
поставил сп3. спустя некоторое время выскачила ошибка. что-то там про Вин32(тыкнул с дуру не отправлять отчет и не прочел сам....). терь до кучи пропал звук((( выкладываю лог от авп тул. чуть позже выложу и от других прог.
ошибка повторилась но теперь я записал на что она жаловалась: Generic Host process for Win32 servicess. добавляю логи от остальных прог.
Последний раз редактировалось LinGvist; 16.04.2009 в 18:09. Причина: добавил
скинул карантин....
появился звук но проблема немного изменилась терь процесс csrss.exe грузит ЦП на 50-80% что в сумме дает 100% загрузку!!!!!
Забавно
Кстати, там AVZ удалил пинча... Пароли меняйте везде.
Отключитесь от сети!
Выполните скрипт
очистите все темп- папки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('e:\windows2\winoffsv.exe'); TerminateProcessByName('e:\windows2\system\svhost.exe'); TerminateProcessByName('e:\windows2\system\smsc.exe'); TerminateProcessByName('e:\windows2\system\netmon.exe'); TerminateProcessByName('e:\windows2\system\msile.exe'); TerminateProcessByName('e:\windows2\temp\10.exe'); DeleteFile('E:\WINDOWS2\system32\sysmgr.bak'); DeleteFile('e:\windows2\temp\10.exe'); DeleteFile('e:\windows2\system\msile.exe'); DeleteFile('e:\windows2\system\netmon.exe'); DeleteFile('e:\windows2\system\smsc.exe'); DeleteFile('e:\windows2\system\svhost.exe'); DeleteFile('e:\windows2\winoffsv.exe'); DeleteFile('E:\WINDOWS2\system32\drivers\sysdrv32.sys'); DeleteFile('E:\WINDOWS2\system\svhost.exe'); DeleteFile('E:\WINDOWS2\system\msile.exe'); DeleteFile('E:\WINDOWS2\system\netmon.exe'); DeleteFile('E:\WINDOWS2\winoffsv.exe'); DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temp\pinch3.exe'); DeleteFile('E:\WINDOWS2\system32\drivers\Tsfg42.sys'); DeleteFileMask('%Tmp%', '*.*', true); BC_Importall; BC_DeleteSvc('msile'); BC_DeleteSvc('MSNETDED'); ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
Не подключаясь к сети сделайте полную проверку AVPTool.
Подключитесь к сети, установите все обновления безопаности на Windows.
Сделайте это http://support.kaspersky.ru/faq/?qid=208636215.
Повторите логи.
Avast у вас нервно курит в сторонке или что-то всё-таки обнаруживает?
сорри мб ступил но терь проверил все диски(физические и логические какие есть) путем "лечение/карантин...". выдало много вредоносных програм и т.д. но вот не могу понять почему архив virusinfo_syscure остался прежним. тесктовой лог опятьтаки остлася но он зараза весит почти 1 мб.
p.s. на 92% проверки выкинул мне такую штуку: "access violation at address 004FFB43 in module 'avz.exe'. Read of address 0000010C". что это такое и с чем его едят не пойму....
да и аваст обкуривает ничего не замечая.......
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- e:\documents and settings\администратор\local settings\temp\pinch3.exe - Trojan-PSW.Win32.LdPinch.dlt ( DrWEB: Trojan.Packed.1197, BitDefender: Trojan.PWS.LDPinch.TIK )
- e:\windows2\system32\drivers\tsfg42.sys - Rootkit.Win32.Agent.aih ( DrWEB: Trojan.Sentinel, BitDefender: Trojan.Srizbi.AX )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) LinGvist, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
