вирус system.exe

Printable View

17.03.2009, 22:41
denizru

Вложений: 1

вирус system.exe

Не включал комп пару дней. После включения NOD стал выдавать вирусы, появилась надпись про system.exe Прошелся AVZ, NODом. Помогло, но не надолго. Скачал и просканировал Kaspersky Virus Removal Tool. Вот лог
17.03.2009, 22:54
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\31376.sys','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\31376.sys');
DeleteFileMask('%Tmp%', '*.*', true);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 праивил
повторите логи
18.03.2009, 00:08
denizru

Вложений: 3

скрипт выполнил, после перезагрузки синий экран, перегрузил вручную, ошибка system.exe снова выползает (гадина). Сделал логи:
HELP!
18.03.2009, 00:20
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{E59EB121-F339-4851-A3BA-FE49C35617C2}');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\system.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\*.*','');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\*.*');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=41925[/url]

3. Повторите логи.
18.03.2009, 00:49
denizru

Вложений: 3

Карантин выслал! Выкладываю логи:
Ошибка system.exe по-прежнему выскакивает
18.03.2009, 01:17
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\system.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\system.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\*.*');
DeleteFile('C:\WINDOWS\system32\system.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.
18.03.2009, 22:04
denizru

Выполнил скрипт, прошелся антивирусами, тьфу-тьфу вроде бы чисто и окошко с ошибкой не выскакивает.
Не знаю надолго ли, но всё равно спасибо Вам Александра!
18.03.2009, 22:08
Aleksandra

Повторите логи.
19.03.2009, 20:55
denizru

Вложений: 3

Ошибка не выскакивает, но система немного подтормаживает, иногда обрывается связь с Инетом. Грешу на Comodo!?
Выкладываю логи:
19.03.2009, 21:07
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
DelBHO('{E59EB121-F339-4851-A3BA-FE49C35617C2}');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArKrn.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\system.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('aswArKrn');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]
19.03.2009, 21:25
denizru

Вложений: 1

Повторяю:
19.03.2009, 21:29
Aleksandra

Ничего зловредного в логах нет.
19.03.2009, 21:32
denizru

Значит... Я Буду жить!!! Спасибо
19.03.2009, 21:43
light59

Все обновления, вышедшие после SP3 установите. Эта зараза въедливая.
20.03.2009, 21:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\9335~1\locals~1\temp\ovfsthttbvoqhwei.tmp - [B]Trojan.Win32.Patched.dy[/B][*] c:\docume~1\9335~1\locals~1\temp\system.exe - [B]Trojan-Downloader.Win32.Agent.blmp[/B] ( DrWEB: Win32.HLLW.Autoruner.6398, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\9335~1\locals~1\temp\2174571 - [B]Trojan.Win32.Agent.bvgn[/B] ( BitDefender: Trojan.Dropper.VB.AWY )[*] c:\docume~1\9335~1\locals~1\temp\2364333 - [B]Trojan.Win32.Agent.bvgn[/B] ( BitDefender: Trojan.Dropper.VB.AWY )[*] c:\docume~1\9335~1\locals~1\temp\4555878 - [B]Trojan.Win32.Agent.bvgn[/B] ( BitDefender: Trojan.Dropper.VB.AWY )[*] c:\docume~1\9335~1\locals~1\temp\6378644 - [B]Trojan.Win32.Agent.bvgn[/B] ( BitDefender: Trojan.Dropper.VB.AWY )[*] c:\docume~1\9335~1\locals~1\temp\7313714 - [B]Trojan.Win32.Agent.bvgn[/B] ( BitDefender: Trojan.Dropper.VB.AWY )[*] c:\docume~1\9335~1\locals~1\temp\8453715 - [B]Trojan.Win32.Agent.bvgn[/B] ( BitDefender: Trojan.Dropper.VB.AWY )[/LIST][/LIST]