Лечение system.exe

[Arestos]

Добрый день,

 

у меня очень похожая на эту проблема. System.exe запущен, и IE, Mozilla, AVZ, HJThis и некоторые другие проги убиваются сразу при запуске или попытке инсталляции (для HJThis).

 

Первоначально пытался лечиться сам:

 

1. Malwarebyte с последними базами, полное сканирование. Нашёл 201 объект, все их удалил. Перезагрузка

2. Бесплатный Avast. Базы не самые свежие. Что-то нашёл, удалил. Перезагрузка. Предпусковой скан им же. Ничего не нашёл.

3. Скачал трайал Kaspersky Crystal. Обновил базы. Почему-то он не смог скачать трайаловский ключ с официального сайта. Поэтому не активирован, но сканирование полное выполнил. Нашёл 21 объект на всех дисках, вроде удалил. Но после рестарта проблемы с незапуском браузеров, AVZ и некоторых других программ остались.

4. Вчера прочёл этот пост на форуме. Загрузил на работе новый AVZ, принёс домой, запустил (с AM=Y, что помогло). Сначала выполнил полную проверку. Расширенный анализ, максимальная эвристика, лечение, проверка всех типов файлов, не проверять свыше 70 Мб., автоматически исправлять все ошибки, блокировать kernel и rootkit. Что-то нашёл, удалил-поправил (лог прилагается). После рестарта проблема осталась.

5. Отключил восстановление системы. Выполнил стандартный скрипт №3. Перезагрузка.

6. Выполнил стандартный скрипт №2. Перезагрузка.

7. HJackThis не захотел запускаться никак: ни в явном виде, ни как Geme.exe с виндовским сценарием.

8. Про комбофикс вчера забыл. Попробую сегодня.

9. Почистил папки TEMP и кэши.

10. Проблема осложняется тем, что комп не мой, а соседский. И к антивирусной защите товарищ относится слегка прохладно. Возможны недолеченности с предыдущих заражений. Просьба помочь советом, если увидите что-то в таком роде.

 

Заранее благодарен!

Строгое предупреждение от модератора zell

Не выкладывайте сюда карантин, будьте добры!

 

Тысяча извинений, простите ламерскую голову))

virusinfo_syscheck.zip

avz_log.txt

[миднайт]

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{88888888-8888-8888-8888-888888888888}');
QuarantineFile('C:\WINDOWS\system32\ayctzh.exe','');
QuarantineFile('C:\WINDOWS\system32\737f5d1.exe','');
DeleteFile('C:\WINDOWS\system32\737f5d1.exe');
DeleteFile('C:\WINDOWS\system32\ayctzh.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RebootWindows(true);
end.

 

Повторите логи в полном объеме.

[Arestos]

Чтобы не грузить карантин нужно не ставить галки "Копировать удаляемые..."?

[миднайт]

При выполненении скрипта Вам никаких галок ставить не нужно.

[Arestos]

Ну просто я из папки с логами скопировал файлы какие просили, а мне за карантин предупреждение сделали... может лишним был avz_cure.zip?

[Mark D. Pearlstone]

Ну просто я из папки с логами скопировал файлы какие просили, а мне за карантин предупреждение сделали... может лишним был avz_cure.zip?

Лишним был virusinfo_cure.zip. Выкладывать нужно те, что написаны в правилах к разделу.

[Arestos]

Ок, понятно спасибо!

[Roman_Five]

удалите остатки Avast

утилита

инструкция

[Arestos]

Вот вроде сделал все как рекомендовали. Правда про удаление Аваста прочёл только сегодня...

Проблемы с запуском программ вроде пропали...

virusinfo_syscheck.zip

virusinfo_syscure.zip

ComboFix.txt

hijackthis.log

[snifer67]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

KillAll:: 

File::
c:\windows\system32\QЮRЂаbѓўИ[і ј[і 
Driver::

Folder::
c:\program files\Common Files\7FDD70C8a

Registry::

FileLook::

DirLook::

RegLock::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Arestos]

Ок, спасибо! А имя файла "c:\windows\system32\QЮRЂаbѓўИ[і ј[і" такое и есть или это кодировка слетела?))

[snifer67]

Китайцы писали , что уж сказать.

[Arestos]

Указанный скрипт выполнить попытался. Консоль восстановления не устанавливал. Через некоторое время после начала работы комбофикса, получил синий экран и рестарт...

Повторная попытка также привела к немедленной перезагрузке системы (то есть даже надписей, типа "завершение работы системы" не было). Никаких отчётов не было, ничего..

Плюс разумеется после рестарта Каспер Кристал опять врубает экраны...хотя в прошлый раз подготовке отчётов это вроде не помешало...

Кстати, если после лечения что-то нужно удалять, то посоветуйте плиз как и что сносить...

Изменено 25 октября, 2010 пользователем Arestos

[MotherBoard]

раз с комбо никак не проверить повторный лог, давайте так:

Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала

Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.