system.exe, 2070

Printable View

Показывать 40 сообщений этой темы на одной странице

09.03.2009, 17:08
Mint

Вложений: 3

system.exe, 2070

Помогите пожалуйста, поменялась дата на 01.01.2070, компьютер время от времени перезагружается и вылазит ошибка system.exe, и этот процесс system.exe не удаляется.
09.03.2009, 17:34
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{D88E1558-7C2D-407A-953A-C044F5607CEA}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('c:\windows\system32\system.exe','');
QuarantineFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.sys','');
QuarantineFile('F:\qttask.exe','');
QuarantineFile('C:\Documents and Settings\DDDDD\Local Settings\Temporary Internet Files\Content.IE5\81U7OTE3\nig[1].exe','');
QuarantineFile('C:\WINDOWS\system32\406.exe','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.sys');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\system32\cftn.exe');
DeleteFile('C:\Documents and Settings\DDDDD\Local Settings\Temporary Internet Files\Content.IE5\81U7OTE3\nig[1].exe');
DeleteFile('C:\WINDOWS\system32\406.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_DeleteSvc('grande48');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=41328[/URL]

3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe[/QUOTE]

4. Повторите логи.
09.03.2009, 19:51
Mint

Не получается выполнить скрипт, пишет Ошибка: undeclared identifier 'CuauarantineFile' в позиции 11:18
09.03.2009, 20:28
Aleksandra

Исправьте на QuarantineFile.
09.03.2009, 20:33
Rene-gad

[QUOTE=Aleksandra;369015]Исправьте на QuarantineFile.[/QUOTE]Исправил ;)
09.03.2009, 20:47
Mint

Да, с Quarantine уже понятно:) Карантин отправила; но в HijackThis почему-то не видно такой строчки :(
09.03.2009, 20:58
Aleksandra

Исправьте на QuarantineFile.
09.03.2009, 21:55
Mint

Вложений: 3

Логи
10.03.2009, 15:29
Rene-gad

Скачайте [URL="http://ftp.kaspersky.com/devbuilds/AVPTool/"]*AVPTool*[/URL] и проверьте систему в безопасном режиме.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\837.exe','');
QuarantineFile('C:\WINDOWS\system32\744.exe','');
QuarantineFile('C:\WINDOWS\system32\685.exe','');
QuarantineFile('C:\WINDOWS\system32\480.exe','');
QuarantineFile('C:\WINDOWS\system32\455.exe','');
QuarantineFile('C:\WINDOWS\system32\440.exe','');
QuarantineFile('C:\WINDOWS\system32\424.exe','');
QuarantineFile('C:\WINDOWS\system32\260.exe','');
QuarantineFile('F:\qttask.exe','');
DeleteFile('C:\WINDOWS\system32\260.exe');
DeleteFile('C:\WINDOWS\system32\424.exe');
DeleteFile('C:\WINDOWS\system32\440.exe');
DeleteFile('C:\WINDOWS\system32\455.exe');
DeleteFile('C:\WINDOWS\system32\480.exe');
DeleteFile('C:\WINDOWS\system32\488.exe');
DeleteFile('C:\WINDOWS\system32\505.exe');
DeleteFile('C:\WINDOWS\system32\685.exe');
DeleteFile('C:\WINDOWS\system32\744.exe');
DeleteFile('C:\WINDOWS\system32\837.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
12.03.2009, 00:50
Mint

Вложений: 3

Правда темп не удалось полностью очистить.. (
Но компьютер пока ведет себя нормально.
12.03.2009, 10:40
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system\msrsys32.exe');
QuarantineFile('c:\windows\system\msrsys32.exe','');
DeleteFile('c:\windows\system\msrsys32.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('msrsys');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=41328[/URL]

3. Повторите логи.
12.03.2009, 18:55
Mint

Вложений: 3

Еще логи
12.03.2009, 22:29
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
BC_ImportQuarantineList;
BC_QrSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин...
12.03.2009, 23:44
Mint

Карантин отправила, :dash1:опять поменялась дата 2070.
12.03.2009, 23:44
Гриша

Сделайте сейчас свежие логи...
13.03.2009, 12:38
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.
13.03.2009, 18:56
Mint

Вложений: 2

Скрипт лечения/карантина и сбора информации не вышло сделать, все начинает висеть при такой попытке через пару минут.
13.03.2009, 19:36
Синауридзе Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.*','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('F:\qttask.exe');
DeleteFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_DeleteSvc('msrsys');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
14.03.2009, 12:43
Mint

Карантин выслан
14.03.2009, 12:47
Гриша

Повторите логи...

Показывать 40 сообщений этой темы на одной странице