system.exe и перевод времени на 2070 год

[rujim]

При перезагрузке системы появляется сообщение system.exe - обнаружена ошибка. И дата переводится на 1 января 2070 года.
Помогите, пожалуйста, разобраться и вылечить проблему.
Спасибо!

P.S. ОС Windows XP SP3, NOD32 v.2.70.39 (базы 3879 за 23.02.2009)

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-8477451017-8609515833-164193779-7484\mwau.exe','');
 QuarantineFile('C:\WINDOWS\System32\win32k.sys','');
 QuarantineFile('c:\program files\usergate\usergate.exe','');
 QuarantineFile('c:\windows\system32\system.exe','');
 TerminateProcessByName('c:\windows\system32\system.exe');
 DeleteFile('c:\windows\system32\system.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-8477451017-8609515833-164193779-7484\mwau.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

Код:

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[rujim]

После лечения время перестало переводиться и при загрузке системы не появляется окошко с ошибкой system.exe.
Высылаю логи и карантин.
Наверное, проблема решена. Но я еще хотел бы услышать ваше мнение.
Огромное Вам спасибо за оперативную помощь!

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKCU\..\Run: [Microsoft Windows Automatic Update] C:\RECYCLER\S-1-5-21-2704950624-4440540140-733051217-3829\mwau.exe

Больше ничего плохого нет.

[rujim]

Снова появился процесс system.exe и постоянно появляется окно с ошибкой!

[Bratez]

Не с флэшки ли вы его заносите?
Сделайте новые логи.
Если флэшкой или др. носителем действительно пользовались, пусть он будет подключен.

[rujim]

Не с флэшки ли вы его заносите?
Сделайте новые логи.
Если флэшкой или др. носителем действительно пользовались, пусть он будет подключен.

Да, на флешке есть вирус. Высылаю логи с воткнутой в комп флешкой.

[Bratez]

Флэшка пусть остается подключенной.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('C:\WINDOWS\system32\system.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-8984540395-7443024741-211916593-6486\mwau.exe');
 DeleteFile('F:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Если F:\autorun.inf попадет в карантин - пришлите по правилам.

Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[rujim]

Пока проблемы нет. Посмотрим дальше.
Высылаю очередные логи.
Поясните проблему, если уже поняли в чем дело. И почему не лечит и пропускает антивирус NOD32?
Спасибо!

[Bratez]

В логах чисто.
Откройте Проводник, включите показ скрытых и системных файлов, и на флэшке прибейте файл explorer.exe.

[rujim]

В логах чисто.
Откройте Проводник, включите показ скрытых и системных файлов, и на флэшке прибейте файл explorer.exe.

На флехе действительно были файлы Autorun.inf и Explorer.exe.

Удалили с помощью утилитки IceSword.

[rujim]

Судя по всему, в результате попадания нового вируса Win32.AgentNVL были заражены несколько компьютеров в локальной сети и сервер.
Впоследствии были обновлены базы антивируса и данный вирус начал успешно лечиться, в результате полезли сообщения о том, что нельзя запустить программу system.exe. Были произведены установка SP3 и критические обновления для WindowsXP (MS08-067 и MS09-001).
В результате были закрыты дыры в системе, но остатки вируса жили в Корзине. При полной очистке системы (Корзина, Темп, Куки) данная проблема была решена.
P.S. Вирус также был на флешке.
P.S.S. Спасибо администраторам сайта и, персонально, Rene-gad и Bratez!

Добавлено через 2 часа 15 минут

На тех же машинах с утра появилось сообщение system.exe.
Другие машины в локалке не заражаются. На всех стоит NOD32 2.70.39 с самыми свежими базами (за 24/02/2009).
Варианты?.

Добавлено через 6 минут

Есть варианты пересмотреть доступ к сети Интернет (смена антивирусного решения).

[Rene-gad]

На тех же машинах с утра появилось сообщение system.exe.
Другие машины в локалке не заражаются. На всех стоит NOD32 2.70.39 с самыми свежими базами (за 24/02/2009).
Варианты?.
Есть варианты пересмотреть доступ к сети Интернет (смена антивирусного решения).

1. НОД уже давно есть в версии 3.
2. Ни один антивирус не гарантирует 100% защиту. Вариант - Линукс - прокси сервер, все клиенты - обычные юзеры с ограниченными полномочиями.
3. Спасибо у нас нажимают

[rujim]

http://www.virustotal.com/ru/analisi...9e4ef6f7140491

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. \bcqr00001.dta - Trojan.Win32.Agent2.efc
  2. \bcqr00002.dta - Trojan.Win32.Agent2.efc
  3. c:\recycler\s-1-5-21-8477451017-8609515833-164193779-7484\mwau.exe - Trojan.Win32.Agent2.eeg
  4. c:\windows\system32\system.exe - Trojan.Win32.Agent2.eeg
  5. c:\windows\system32\system.exe - Trojan.Win32.Agent2.efc
  6. f:\explorer.exe - Trojan.Win32.Agent2.efc