system.exe 01.01.2070г.

**Fine** · 02-28-2009, 01:39 PM

В общем-то уже известная проблема. Нод с последним обновлением не берет эту дрянь. Пробовал выкорчевывать ее руками в безопастном режиме, фиксил реестр (тоже ручками), но по-видимому я перебираю не все места, где она может прятаться, т.к. рано или поздно она все равно появляется.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 02-28-2009, 02:17 PM

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\system.exe','');
 DeleteFile('C:\WINDOWS\system32\system.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**PavelA** · 02-28-2009, 02:25 PM

Автозапуск руками чистили?

еще желательно автозапуск флешек отключить. Данная зараза часто с них лезет.

**Fine** · 02-28-2009, 02:52 PM

Карантин отправил. Автозагрузку чистил руками, но перед тем как написать сюда, скачал Хиджак и пофиксил им еще пару строчек.(там же много мест, куда можно прописать себя для автозапуска). Автозапуск флешек и сд-ром отключил. У меня еще вопрос - где можно взять заплатки для sp3? (может кто знает точные линки)

вот еще один момент - я почитал форумы касперского, там не меньше народу с такой же проблемой. Интересно, что большинство из них использует беспроводный usb-модем, и проблема возникает как раз при подключении. У меня модем скай-линк usb. Комп может работать пол дня нормально, но как только подключаюсь к интернет - в течении 5 минут сброс даты и т.д. Может модем и не при чем, но чувствуется что активное подключение как-то "активизирует" вирус.

Добавлено через 8 часов 28 минут

Судя по всему я решил проблему. На всякий случай опишу как я это сделал, вдруг кому будет полезно, т.к. пока этого вируса нет ни в одной антивирусной базе, насколько я знаю.
1. Скачал и записал на диск EPD Commander 2005 (один из вариантов аппаратно независимой винды с набором полезных инструментов), естественно загрузился с этого диска.
2. Пофиксил реестр. В regedit (прилагается к EPD) Правка/Найти, удалял все ключи, ссылающиеся на mwau, spuo, spge, system.exe (кроме HKLM\.....\winlogon, там строчку со ссылкой на userinit.exe оставить, остальное вытереть). Помимо этого в HKU\default\software\microsoft\windows\shellnoroam прописываются файлы sysmgr, xxx.exe (где ххх - произвольный набор цифр). Эти ключи я тоже удалил. (возможно, что они еще где-то прячутся)
3. Провел чистку. На всех разделах очистил папки Recycled (Recycler), System Volume Information. Затем конкретно в разделе, на котором стоит винда: в папке documents and settings\admin\local settings почистил папку Temp и Temporary Internet Files (и так для каждой учетной записи). Очистил папку windows\temp. В папке windows\system32 удалил system.exe, sysmgr.exe и ххх.exe (где ххх - произвольный набор цифр). На флешках могут находиться файлы autorun.inf и папка Restore, их тоже следует удалить, иначе вирус опять перепрыгнет на комп.
4. Загрузил винду с диска C:\ и скачал последние обновления Windows, касающиеся безопасности (около 24 Мб). Тем, у кого еще SP2, рекомендуют сначала обновиться до SP3, потом ставить заплатки. Вот собственно и все.
Часть инфы взята с форумов Dr.Web.
P.S. Судя по инфе, которую я прочитал здесь, а также на форумах Касперского и Др.Веб, в некоторых случаях вирус проявляет себя иначе, т.е. помимо system32 лезет еще и в system32\drivers и т.д., но основа одна и та же.