msile.exe

машина загажена как я понял в ноль. файрвол выключен, антивирус если и ходилтут то давно. первое и что самое заметное это процесс msile.exe лезет в неимаверных количествах(30-50шт). не грузит ЦП но всю оперативу занимает полностью(ну без малого). логи прилагаю.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('e:\windows2\msmacro32.exe','');
DeleteService('msile');
QuarantineFile('E:\WINDOWS2\system\msile.exe','');
QuarantineFile('E:\WINDOWS2\system\svhost.exe','');
QuarantineFile('E:\WINDOWS2\msmacro32.exe','');
QuarantineFile('E:\WINDOWS2\winoffsv.exe','');
QuarantineFile('e:\windows2\winoffsv.exe','');
QuarantineFile('c:\program files\internet explorer\winload.exe','');
QuarantineFile('e:\windows2\system32\sysmgr.exe','');
QuarantineFile('e:\windows2\system\smsc.exe','');
QuarantineFile('e:\windows2\system\netmon.exe','');
QuarantineFile('e:\windows2\system\msile.exe','');
DeleteFile('e:\windows2\system\msile.exe');
DeleteFile('e:\windows2\system\netmon.exe');
DeleteFile('e:\windows2\system\smsc.exe');
DeleteFile('e:\windows2\system\svhost.exe');
DeleteFile('e:\windows2\system32\sysmgr.exe');
DeleteFile('c:\program files\internet explorer\winload.exe');
DeleteFile('e:\windows2\winoffsv.exe');
DeleteFile('E:\WINDOWS2\winoffsv.exe');
DeleteFile('E:\WINDOWS2\msmacro32.exe');
DeleteFile('E:\WINDOWS2\system\svhost.exe');
DeleteFile('E:\WINDOWS2\system\msile.exe');
DeleteFile('e:\windows2\msmacro32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи ....
и начинайте качать сп3 ....

не помогло вообще, т.е. так же цифровую процессы вылвзвют и в большом кол-ве эти msile.exe и что примечательно в карантине нет ничего.... тут вообще есть еще один хард на машине я провел полную проверку могу текстовой лог скинуть если это поможет или требуется. и вопросец: а мона с сп1 до сп3 обновить а не переставлять(сор я не особый профи в этом)?

Логи делайте.
С Sp1 на прыгнуть SP3 можно.

присылаю логи. нада ли выложить лог полного скана обоих хардов прогой AVZ? и повторный вопрос: а переход делается 1 патчем или несколькими?

Одним...
virusinfo_syscure.zip где?

машина ребутается если выполнять скрипт "лечение/карантин.....". вот лог текстовой токо правда того что я тут напроверял, отпрвляю 2 файлами так как 1 не лезет.

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
TerminateProcessByName('e:\windows2\winoffsv.exe');
TerminateProcessByName('c:\program files\internet explorer\winload.exe');
TerminateProcessByName('e:\windows2\system32\sysmgr.exe');
TerminateProcessByName('e:\windows2\system\svhost.exe');
TerminateProcessByName('e:\windows2\system\smsc.exe');
TerminateProcessByName('e:\windows2\system\netmon.exe');
TerminateProcessByName('e:\windows2\system\msile.exe');
TerminateProcessByName('e:\windows2\temp\13.exe');
DeleteFile('e:\windows2\temp\13.exe');
DeleteFile('e:\windows2\system\msile.exe');
DeleteFile('e:\windows2\system\netmon.exe');
DeleteFile('e:\windows2\system\smsc.exe');
DeleteFile('e:\windows2\system\svhost.exe');
DeleteFile('e:\windows2\system32\sysmgr.exe');
DeleteFile('c:\program files\internet explorer\winload.exe');
DeleteFile('e:\windows2\winoffsv.exe');
DeleteFile('E:\WINDOWS2\msmacro32.exe');
DeleteService('MSNETDED');
DeleteService('msile');
DeleteFileMask('c:\windows\temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
- Ставьте SP3, иначе вы у нас надолго
- Сделайте полную проверку AVPTool
- Обновите базы AVZ (файл - обновление баз)
- Повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]

[CODE]Восстановление системы: включено
[/CODE]
[B]Отключить![/B]

поставил сп3. спустя некоторое время выскачила ошибка. что-то там про Вин32(тыкнул с дуру не отправлять отчет и не прочел сам....). терь до кучи пропал звук((( выкладываю лог от авп тул. чуть позже выложу и от других прог.


ошибка повторилась но теперь я записал на что она жаловалась: Generic Host process for Win32 servicess. добавляю логи от остальных прог.

скинул карантин....

появился звук но проблема немного изменилась терь процесс csrss.exe грузит ЦП на 50-80% что в сумме дает 100% загрузку!!!!!

Забавно :)
Кстати, там AVZ удалил пинча... Пароли меняйте везде.

Отключитесь от сети!
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows2\winoffsv.exe');
TerminateProcessByName('e:\windows2\system\svhost.exe');
TerminateProcessByName('e:\windows2\system\smsc.exe');
TerminateProcessByName('e:\windows2\system\netmon.exe');
TerminateProcessByName('e:\windows2\system\msile.exe');
TerminateProcessByName('e:\windows2\temp\10.exe');
DeleteFile('E:\WINDOWS2\system32\sysmgr.bak');
DeleteFile('e:\windows2\temp\10.exe');
DeleteFile('e:\windows2\system\msile.exe');
DeleteFile('e:\windows2\system\netmon.exe');
DeleteFile('e:\windows2\system\smsc.exe');
DeleteFile('e:\windows2\system\svhost.exe');
DeleteFile('e:\windows2\winoffsv.exe');
DeleteFile('E:\WINDOWS2\system32\drivers\sysdrv32.sys');
DeleteFile('E:\WINDOWS2\system\svhost.exe');
DeleteFile('E:\WINDOWS2\system\msile.exe');
DeleteFile('E:\WINDOWS2\system\netmon.exe');
DeleteFile('E:\WINDOWS2\winoffsv.exe');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temp\pinch3.exe');
DeleteFile('E:\WINDOWS2\system32\drivers\Tsfg42.sys');
DeleteFileMask('%Tmp%', '*.*', true);
BC_Importall;
BC_DeleteSvc('msile');
BC_DeleteSvc('MSNETDED');
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
очистите все темп- папки.
Не подключаясь к сети сделайте полную проверку AVPTool.
Подключитесь к сети, установите все обновления безопаности на Windows.
Сделайте это [URL="http://support.kaspersky.ru/faq/?qid=208636215"]http://support.kaspersky.ru/faq/?qid=208636215[/URL].
Повторите логи.

Avast у вас нервно курит в сторонке или что-то всё-таки обнаруживает?

сорри мб ступил но терь проверил все диски(физические и логические какие есть) путем "лечение/карантин...". выдало много вредоносных програм и т.д. но вот не могу понять почему архив virusinfo_syscure остался прежним. тесктовой лог опятьтаки остлася но он зараза весит почти 1 мб.

p.s. на 92% проверки выкинул мне такую штуку: "access violation at address 004FFB43 in module 'avz.exe'. Read of address 0000010C". что это такое и с чем его едят не пойму....


да и аваст обкуривает ничего не замечая.......

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\documents and settings\администратор\local settings\temp\pinch3.exe - [B]Trojan-PSW.Win32.LdPinch.dlt[/B] ( DrWEB: Trojan.Packed.1197, BitDefender: Trojan.PWS.LDPinch.TIK )[*] e:\windows2\system32\drivers\tsfg42.sys - [B]Rootkit.Win32.Agent.aih[/B] ( DrWEB: Trojan.Sentinel, BitDefender: Trojan.Srizbi.AX )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]