И снова system.exe

Заел зверь system.exe

Как и у многих в этом форуме схожие симптомы, при загрузке системы вылетает сообщение об ошибке system.exe, перевод даты на 2070 год, НОД его не видит.

Ноутбук рабочий, поэтому на нем работают с 4-7 флешек, как я понимаю зверь скорее всего теперь и на них? Какие можете дать рекомендации по их лечению, чтобы не заразить остальные компы?

Спасибо.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('mssql.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0283739700-1683104668-959281113-5685\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0283739700-1683104668-959281113-5685\mwau.exe');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
DeleteFile('F:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=40555[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Карантин прислал.
Логи прилагаю.

Сделайте полную проверку AVPTool,
пофиксите в HijackThis (что останется):
[code]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O4 - HKCU\..\Run: [mswindws] mssql.exe
O4 - HKCU\..\Run: [Microsoft Windows Automatic Update] C:\RECYCLER\S-1-5-21-7368184884-6919098647-598010499-0385\mwau.exe
O21 - SSODL: UpdateCheck - {0B5C00EB-9D74-4DEF-9ACD-60B110F5227B} - (no file)
[/code]
перезагрузите компьютер и повторите логи...

AVPTool не запускается не в обычном не в безопасном режиме, выкидывает ошибку и свои извинения . В прочем как и Dr.Web. LiveCD Dr.Web вообще не запускается. Есть LiveCD касперского, им проводил проверку до того, все что он смог, вылечил.
Чего делать? Просто фиксить с помощью HijackThis то что описано выше и снова логи?

[QUOTE=shar_ed;363196]AVPTool не запускается не в обычном не в [/QUOTE]
Пофиксите что написал Гриша.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки попробуйте запустить АVPTool

Сделано! AVPTool все равно не стартует.
Логи на всякий случай прилагаю.

Отключите корзину: [url]http://virusinfo.info/showthread.php?t=30250[/url]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-1229124787-1544093960-603250623-7381\mwau.exe','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1229124787-1544093960-603250623-7381\mwau.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=40555[/url]).
Сделайте все новые логи

При удалении корзины выскочило предупреждение: "не получается удалить recycler ... нет доступа к mwau.exe ... и т.д."
Скрипт выполнил, логи и карантин через 2 мин.

Логи.

пофиксите в HijackThis
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O4 - HKCU\..\Run: [Microsoft Windows Automatic Update] C:\RECYCLER\S-1-5-21-1037833888-4873510027-255340003-4706\mwau.exe
[/code]
перезагрузите компьютер и повторите логи...

Выполнил. Но по моему, после перезагрузки, при сборе логов HijackThis, эта хрень:

[CODE]F2 - REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe[/CODE]
снова на месте. В прочем, посмотрите пожалуйста сами.

Обновите базы AVZ и сделайте лог syscure.

Базы AVZ обновил, но теперь при попытке снять лог, система вообще виснет наглухо!

Сделал простую проверку с помощью AVZ из под безопасного, он много чего повыкорчевывал. После чего перезагрузился под обычным, вроде все в норме. system.exe не выскакивает. Сделал логи. Гуру, посмотрите пожалуйста, все ль там чисто?

Да, его мы с Вашей помощью убили.
Про чистоту не скажу. Лучше будет по полной провериться а/вирусом, удалить остатки.

На вирусы проверился обновленным нодом + вебом утилиткой с их сайта. Вроде почистили они все, больше ничего не видно. Однако иногда (не каждый раз) при загрузке винды вылетает ошибка типа "инструкция по адресу ... обратилась к ... память не может быть writen и т.д." и еще каждый раз при загрузке говорит что не верная системная дата, хотя число стоит актуальное. Посмотрите пожалуйста, может чего в логах еще есть?

Логи чистые. Восстановление системы отключите, потом можно включить обратно. Дата у вас стоит 2 февраля - поправьте. Ставьте SP3 + последующие обновления.

Спасибо всем ОГРОМНОЕ за помощь! Теперь все путем. :beer:

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0283739700-1683104668-959281113-5685\mwau.exe - [B]Trojan.Win32.Agent2.eeg[/B]( BitDefender: Trojan.Generic.1448801 )[*] c:\windows\system32\sysmgr.exe - [B]Trojan.Win32.Buzus.aniu[/B]( BitDefender: Backdoor.Generic.168662 )[*] c:\windows\system32\system.exe - [B]Trojan.Win32.Agent2.eeg[/B]( BitDefender: Trojan.Generic.1448801 )[/LIST][/LIST]