system.exe, 2070

Printable View

09.03.2009, 17:08
Mint

Вложений: 3

system.exe, 2070

Помогите пожалуйста, поменялась дата на 01.01.2070, компьютер время от времени перезагружается и вылазит ошибка system.exe, и этот процесс system.exe не удаляется.
09.03.2009, 17:34
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{D88E1558-7C2D-407A-953A-C044F5607CEA}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('c:\windows\system32\system.exe','');
QuarantineFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.sys','');
QuarantineFile('F:\qttask.exe','');
QuarantineFile('C:\Documents and Settings\DDDDD\Local Settings\Temporary Internet Files\Content.IE5\81U7OTE3\nig[1].exe','');
QuarantineFile('C:\WINDOWS\system32\406.exe','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.sys');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\system32\cftn.exe');
DeleteFile('C:\Documents and Settings\DDDDD\Local Settings\Temporary Internet Files\Content.IE5\81U7OTE3\nig[1].exe');
DeleteFile('C:\WINDOWS\system32\406.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_DeleteSvc('grande48');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=41328[/URL]

3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe[/QUOTE]

4. Повторите логи.
09.03.2009, 19:51
Mint

Не получается выполнить скрипт, пишет Ошибка: undeclared identifier 'CuauarantineFile' в позиции 11:18
09.03.2009, 20:28
Aleksandra

Исправьте на QuarantineFile.
09.03.2009, 20:33
Rene-gad

[QUOTE=Aleksandra;369015]Исправьте на QuarantineFile.[/QUOTE]Исправил ;)
09.03.2009, 20:47
Mint

Да, с Quarantine уже понятно:) Карантин отправила; но в HijackThis почему-то не видно такой строчки :(
09.03.2009, 20:58
Aleksandra

Исправьте на QuarantineFile.
09.03.2009, 21:55
Mint

Вложений: 3

Логи
10.03.2009, 15:29
Rene-gad

Скачайте [URL="http://ftp.kaspersky.com/devbuilds/AVPTool/"]*AVPTool*[/URL] и проверьте систему в безопасном режиме.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\837.exe','');
QuarantineFile('C:\WINDOWS\system32\744.exe','');
QuarantineFile('C:\WINDOWS\system32\685.exe','');
QuarantineFile('C:\WINDOWS\system32\480.exe','');
QuarantineFile('C:\WINDOWS\system32\455.exe','');
QuarantineFile('C:\WINDOWS\system32\440.exe','');
QuarantineFile('C:\WINDOWS\system32\424.exe','');
QuarantineFile('C:\WINDOWS\system32\260.exe','');
QuarantineFile('F:\qttask.exe','');
DeleteFile('C:\WINDOWS\system32\260.exe');
DeleteFile('C:\WINDOWS\system32\424.exe');
DeleteFile('C:\WINDOWS\system32\440.exe');
DeleteFile('C:\WINDOWS\system32\455.exe');
DeleteFile('C:\WINDOWS\system32\480.exe');
DeleteFile('C:\WINDOWS\system32\488.exe');
DeleteFile('C:\WINDOWS\system32\505.exe');
DeleteFile('C:\WINDOWS\system32\685.exe');
DeleteFile('C:\WINDOWS\system32\744.exe');
DeleteFile('C:\WINDOWS\system32\837.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
12.03.2009, 00:50
Mint

Вложений: 3

Правда темп не удалось полностью очистить.. (
Но компьютер пока ведет себя нормально.
12.03.2009, 10:40
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system\msrsys32.exe');
QuarantineFile('c:\windows\system\msrsys32.exe','');
DeleteFile('c:\windows\system\msrsys32.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('msrsys');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=41328[/URL]

3. Повторите логи.
12.03.2009, 18:55
Mint

Вложений: 3

Еще логи
12.03.2009, 22:29
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
BC_ImportQuarantineList;
BC_QrSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин...
12.03.2009, 23:44
Mint

Карантин отправила, :dash1:опять поменялась дата 2070.
12.03.2009, 23:44
Гриша

Сделайте сейчас свежие логи...
13.03.2009, 12:38
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.
13.03.2009, 18:56
Mint

Вложений: 2

Скрипт лечения/карантина и сбора информации не вышло сделать, все начинает висеть при такой попытке через пару минут.
13.03.2009, 19:36
Синауридзе Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.*','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('F:\qttask.exe');
DeleteFile('C:\DOCUME~1\DDDDD\LOCALS~1\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_DeleteSvc('msrsys');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
14.03.2009, 12:43
Mint

Карантин выслан
14.03.2009, 12:47
Гриша

Повторите логи...
14.03.2009, 13:55
Mint

Вложений: 3

Логи
14.03.2009, 13:59
Синауридзе Александр

В логах чисто. Что с вашими проблемами девушка?
14.03.2009, 14:02
Mint

Кажется, исчезли :) Спасибо.
15.03.2009, 14:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]126[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\ddddd\local settings\temporary internet files\content.ie5\81u7ote3\nig[1].exe - [B]Trojan.Win32.Agent2.ewv[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\0062324 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\0182015 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\0203658 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\0357000 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\0777652 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\1412720 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\1808272 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\1877531 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\2053771 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\2145511 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\2240640 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\2544112 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\2571053 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\2637467 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\2818080 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\3376262 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\3536044 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\3757377 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\4076533 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\4603083 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\5017362 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\5128264 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\5581485 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\5621687 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\5818554 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\6100316 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\6712421 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7008527 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7008734 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7071784 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7075818 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7167808 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7178416 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7183205 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7201526 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7288167 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7444313 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7733418 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7756437 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\7857708 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8076007 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8088734 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8410243 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8446580 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8551208 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8680351 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8741686 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8744253 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8820833 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\docume~1\ddddd\locals~1\temp\8826243 - [B]Trojan.Win32.Agent2.ezq[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\windows\system\msrsys32.exe - [B]Backdoor.Win32.IRCBot.hyl[/B]( BitDefender: Trojan.Generic.1539888 )[*] c:\windows\system32\drivers\sysdrv32.sys - [B]Worm.Win32.AutoRun.ezt[/B]( BitDefender: Trojan.Agent.ALRI )[*] c:\windows\system32\system.exe - [B]Trojan.Win32.Agent2.ewv[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\windows\system32\406.exe - [B]Trojan.Win32.Agent2.ewv[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[/LIST][/LIST]