Перейти к содержанию

Лечение system.exe


Arestos

Рекомендуемые сообщения

Добрый день,

 

у меня очень похожая на эту проблема. System.exe запущен, и IE, Mozilla, AVZ, HJThis и некоторые другие проги убиваются сразу при запуске или попытке инсталляции (для HJThis).

 

Первоначально пытался лечиться сам:

 

1. Malwarebyte с последними базами, полное сканирование. Нашёл 201 объект, все их удалил. Перезагрузка

2. Бесплатный Avast. Базы не самые свежие. Что-то нашёл, удалил. Перезагрузка. Предпусковой скан им же. Ничего не нашёл.

3. Скачал трайал Kaspersky Crystal. Обновил базы. Почему-то он не смог скачать трайаловский ключ с официального сайта. Поэтому не активирован, но сканирование полное выполнил. Нашёл 21 объект на всех дисках, вроде удалил. Но после рестарта проблемы с незапуском браузеров, AVZ и некоторых других программ остались.

4. Вчера прочёл этот пост на форуме. Загрузил на работе новый AVZ, принёс домой, запустил (с AM=Y, что помогло). Сначала выполнил полную проверку. Расширенный анализ, максимальная эвристика, лечение, проверка всех типов файлов, не проверять свыше 70 Мб., автоматически исправлять все ошибки, блокировать kernel и rootkit. Что-то нашёл, удалил-поправил (лог прилагается). После рестарта проблема осталась.

5. Отключил восстановление системы. Выполнил стандартный скрипт №3. Перезагрузка.

6. Выполнил стандартный скрипт №2. Перезагрузка.

7. HJackThis не захотел запускаться никак: ни в явном виде, ни как Geme.exe с виндовским сценарием.

8. Про комбофикс вчера забыл. Попробую сегодня.

9. Почистил папки TEMP и кэши.

10. Проблема осложняется тем, что комп не мой, а соседский. И к антивирусной защите товарищ относится слегка прохладно. Возможны недолеченности с предыдущих заражений. Просьба помочь советом, если увидите что-то в таком роде.

 

Заранее благодарен!

Строгое предупреждение от модератора zell
Не выкладывайте сюда карантин, будьте добры!

 

Тысяча извинений, простите ламерскую голову))

virusinfo_syscheck.zip

avz_log.txt

Ссылка на комментарий
Поделиться на другие сайты

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{88888888-8888-8888-8888-888888888888}');
QuarantineFile('C:\WINDOWS\system32\ayctzh.exe','');
QuarantineFile('C:\WINDOWS\system32\737f5d1.exe','');
DeleteFile('C:\WINDOWS\system32\737f5d1.exe');
DeleteFile('C:\WINDOWS\system32\ayctzh.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RebootWindows(true);
end.

 

Повторите логи в полном объеме.

Ссылка на комментарий
Поделиться на другие сайты

Ну просто я из папки с логами скопировал файлы какие просили, а мне за карантин предупреждение сделали... может лишним был avz_cure.zip?

Ссылка на комментарий
Поделиться на другие сайты

Ну просто я из папки с логами скопировал файлы какие просили, а мне за карантин предупреждение сделали... может лишним был avz_cure.zip?

Лишним был virusinfo_cure.zip. Выкладывать нужно те, что написаны в правилах к разделу.

Ссылка на комментарий
Поделиться на другие сайты

Вот вроде сделал все как рекомендовали. Правда про удаление Аваста прочёл только сегодня...

Проблемы с запуском программ вроде пропали...

virusinfo_syscheck.zip

virusinfo_syscure.zip

ComboFix.txt

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

KillAll:: 

File::
c:\windows\system32\QЮRЂаbѓўИ[і ј[і 
Driver::

Folder::
c:\program files\Common Files\7FDD70C8a

Registry::

FileLook::

DirLook::

RegLock::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Указанный скрипт выполнить попытался. Консоль восстановления не устанавливал. Через некоторое время после начала работы комбофикса, получил синий экран и рестарт...

Повторная попытка также привела к немедленной перезагрузке системы (то есть даже надписей, типа "завершение работы системы" не было). Никаких отчётов не было, ничего..

Плюс разумеется после рестарта Каспер Кристал опять врубает экраны...хотя в прошлый раз подготовке отчётов это вроде не помешало...

Кстати, если после лечения что-то нужно удалять, то посоветуйте плиз как и что сносить...

Изменено пользователем Arestos
Ссылка на комментарий
Поделиться на другие сайты

раз с комбо никак не проверить повторный лог, давайте так:

Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала

Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • Fast_diesel
      От Fast_diesel
      Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.
      Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html
      CollectionLog-2024.11.08-21.18.zip
    • GlibZabiv
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
    • Myugs
      От Myugs
      Здравствуйте, после перезагрузки ПК снова появляется предупреждение.

      CollectionLog-2024.10.10-22.18.zip
    • Окулевич
      От Окулевич
      Добрый день. После лечения антивирусом касперским и после перезапуска компьютера данное сообщение всплывает еще раз и просит вновь перезагрузить компьютер. Я почитал форму и нашел утилиту с помощью которой отсканировал систему и получил такие логи (прикрепляю)

      отчеты.rar
×
×
  • Создать...