После перезагрузки время меняется на 4-00 1 января 2070. Nod32 оповещает о изолировании файлов.
Printable View
После перезагрузки время меняется на 4-00 1 января 2070. Nod32 оповещает о изолировании файлов.
выполните скрипт в safe mode
[code]
begin
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2443276676-1750375194-312070156-0853\mwau.exe','');
QuarantineFile('C:\DOCUME~1\A47D~1\LOCALS~1\Temp\75068.sys','');
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('c:\windows\system32\system.exe','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\DOCUME~1\A47D~1\LOCALS~1\Temp\75068.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-2443276676-1750375194-312070156-0853\mwau.exe');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
вот логи
в логах ничего плохого ...
что с проблемами ?
Я так рад))) все работает нормально пока, главное чтоб не повторилось)
Спасибо за помощь!
Через некоторое время повторилось опять. Флешку не вставлял, только с диска D установил пару программ, может на нём и сохранилось? Сейчас system.exe продолжаются, но время остается как я выставил
отключите [B]восстановление системы[/B]!
Пофиксить в hijackthis:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O4 - HKCU\..\Run: [Microsoft Windows Automatic Update] C:\RECYCLER\S-1-5-21-2670149414-2976607634-603373702-7600\mwau.exe
O4 - HKCU\..\Run: [Mozillacorp] C:\WINDOWS\system32\system.exe[/code]
Перезагрузить виндоус.
При перезагрузке выбрать [B]безопасный режим[/B] и выполнить там такой скрипт в avz
[code]
begin
QuarantineFile('C:\RECYCLER\S-1-5-21-2670149414-2976607634-603373702-7600\mwau.exe','');
QuarantineFile('C:\DOCUME~1\A47D~1\LOCALS~1\Temp\81075.sys','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('c:\windows\system32\system.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2670149414-2976607634-603373702-7600\mwau.exe');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\DOCUME~1\A47D~1\LOCALS~1\Temp\81075.sys');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
Пришлите карантин.
повторите логи .
avptool скачайте [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] , отключите nod ,и просканировать весь компьютер, возможно где-то сидит источник.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-2443276676-1750375194-312070156-0853\mwau.exe - [B]Trojan.Win32.Agent2.eeg[/B][/LIST][/LIST]