system.exe

Pili · Отправлено: **16:37, 02-03-2009** | #2

полсуслика, Здравствуйте. Интернет помошник MyCentria деинсталлируйте.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('f:\windows\system32\system.exe');
 QuarantineFile('F:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('F:\WINDOWS\system32\sysmgr.exe','');
 QuarantineFile('F:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('F:\DOCUME~1\vitallie\LOCALS~1\Temp\81524.sys','');
 QuarantineFile('f:\windows\system32\system.exe','');
 QuarantineFile('F:\RECYCLER\S-1-5-21-5070871321-6316358575-147871927-3986\mwau.exe','');
 DeleteFile('F:\RECYCLER\S-1-5-21-5070871321-6316358575-147871927-3986\mwau.exe');
 DeleteFile('f:\windows\system32\system.exe');
 DeleteFile('F:\DOCUME~1\vitallie\LOCALS~1\Temp\81524.sys');
 DeleteFile('F:\WINDOWS\system32\csrcs.exe');
 DeleteFile('F:\WINDOWS\system32\sysmgr.exe');
 DeleteFile('F:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('F:\Documents and Settings\vitallie\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteFile('F:\DOCUME~1\vitallie\LOCALS~1\Temp\81524.sys');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - F:\Documents and Settings\vitallie\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: MyCentria Internet Mate v1.9 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - F:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O4 - HKLM\..\Run: [sysmgr] F:\WINDOWS\system32\sysmgr.exe
O4 - HKCU\..\Run: [Microsoft Windows Automatic Update] F:\RECYCLER\S-1-5-21-5070871321-6316358575-147871927-3986\mwau.exe
O4 - HKCU\..\Run: [Mozillacorp] F:\WINDOWS\system32\system.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] F:\WINDOWS\system32\csrcs.exe

Цитата:

Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Цитата:

Восстановление системы: включено

Обновите базы, удалите предыдущие точки восстановления и создайте новую или отключите восстановление системы и повторите логи.