Printable View
Доброго времени суток
Проблема такая же как и в нескольких предыдущих темах:
1. постоянная ошибка system.exe
2. дата на 1 января 2070 (восстановил на правильную сразу, как заметил - думал просто глюк)
3. симантек 10.2 сдох сразу
4. касперский немного посопротивлялся, но ничего сделать не смог
5. симантек с более новым обновлением сопротивлялся дольше, нашел вирус hacktool.rootkit и несколько авторанеров, но все-равно помер
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8013742233-8396185578-965429763-9545\mwau.exe','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8013742233-8396185578-965429763-9545\mwau.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=40487[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделал. Ошибка system.exe больше не появляется, в процессах тоже его нет. Но не могу с этого компьютера выйти на virusinfo.info (на другие сайты выходит нормально). Пришлось карантин архивировать вручную и высылать с другого компа.
Надо бы проверить Ваши флешки.
профиксить:
[CODE]
O4 - HKCU\..\Run: [Microsoft Windows Automatic Update] C:\RECYCLER\S-1-5-21-0682988698-0567459838-768058916-6202\mwau.exe[/CODE]
Сделайте логи с подключенной флешкой, если ей пользуетесь.
флешек несколько (5) - три флэшки и два перенолсных харда. подключать могу только по одной. И чем защититься, чтобы с флэшки опять не заразить комп?
Этого зловреда детектит KIS...
[QUOTE=Fox84;362548]флешек несколько (5) - три флэшки и два перенолсных харда. подключать могу только по одной. И чем защититься, чтобы с флэшки опять не заразить комп?[/QUOTE]
Можно автозапуск отключить. См. тему в "Чаво".
ага,понял.ушел делать. =)
пофиксил. вот логи с флешками и хардами. Что не смог подцепить - отформатировал на другом компе. Все-равно не могу выйти на вирусинфо со своего компа.
У вас Kido
[url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]
мда... Без касперского реально с ним справиться? (просто на лицензию денег нет, а демо уже не могу активировать =) )
Читайте что там написано, ни каких денег не нужно...
Ага. Понял. Еще вопрос: у меня еще несколько знакомых с такими же проблемами, если сразу запустить кидокиллер на их машинах, без проверок и исправоений AVZ и hijackit, поможет это устранить зверя?
Поможет, но если там не свежая версия. Все лаборатории нуждаются в новых образцах для доделки утилит.
Вроде от зверя в компе избавился. Даже на вирусинфо уже вышел со своего компа. Антивирус постоянно отлавливает mwau в recycle и еще кучу всякого хлама в restore и в тэмпах. Но, вроде, успешно. Правда появилась другая проблема: невозможно включить отображение скрытых файлов и папок. Переключатель ставишь в нужное положение, жмешь ок, но ничего не меняется и переключатель возвращается в положение "не показвать...". Пропала сама собой после нескольких перезагрузок, связанных с установкой антивируса. На всякий случай высылаю последние логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
Сообщите что со скрытыми файлами...
Проблема со скрытыми файлами пропала сама собой. Сейчас они отображаются нормально. Скрипт еще не выполнял, но значение параметра, указанного в скрипте уже установлено на "1".
Желательно отключить "Автозапуск" у флешек.
Уже отключено. В процессе лечения отключил.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Кстати. Вылечил еще один комп на стадии "только что схватил" путем загрузки в ERD Commander и удаления из-под него system.exe и всех папок из recycler и restore
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-8013742233-8396185578-965429763-9545\mwau.exe - [B]Trojan.Win32.Agent2.eeg[/B][*] c:\windows\system32\system.exe - [B]Trojan.Win32.Agent2.eeg[/B][/LIST][/LIST]