-
Junior Member
- Вес репутации
- 51
Отключение системы вызвано NT AUTHORITY\SYSTEM
Здравствуйте, помогите разобраться с проблемой.
Началось неделю назад, выдается сообщение «Система завершает работу. Сохраните данные и выйдите из системы. Отключение системы вызвано NT AUTHORITY\SYSTEM. Система будет перезагружена через 1 минуту". После чего начинается обратный отсчет и система действительно перезагружается через минуту.
Лечил с помощью CureIT. Вирусы нашлись, удалены, но проблема осталась. Логи AVZ и RSIT после лечения прикрепил.
Последний раз редактировалось AndreyKa; 11.05.2010 в 12:19.
Причина: Приложил лог как положено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('cccqli.sys','');
QuarantineFile('awqrbw.sys','');
QuarantineFile('ewoefn.sys','');
QuarantineFile('eimmcc.sys','');
QuarantineFile('cvmnnm.sys','');
QuarantineFile('C:\Recycled\Q678340.exe','');
QuarantineFile('C:\WINDOWS\wsem303.dll','');
QuarantineFile('C:\WINDOWS\System32\94UJDE~1.DLL','');
QuarantineFile('C:\WINDOWS\nem220.dll','');
QuarantineFile('C:\Documents and Settings\Metelkindv\Главное меню\Программы\Автозагрузка\sysfbm32.exe','');
QuarantineFile('C:\windows\System32\drivers\ujebav.sys','');
QuarantineFile('C:\windows\System32\drivers\tihnff.sys','');
QuarantineFile('C:\windows\System32\drivers\rftgne.sys','');
QuarantineFile('C:\windows\System32\drivers\ntcgbf.sys','');
QuarantineFile('C:\windows\System32\msfsr.sys','');
QuarantineFile('C:\windows\System32\drivers\mkwdpi.sys','');
QuarantineFile('C:\windows\System32\drivers\mhtaiu.sys','');
QuarantineFile('C:\windows\System32\drivers\jpvkqr.sys','');
QuarantineFile('C:\windows\System32\drivers\joblhu.sys','');
QuarantineFile('C:\windows\System32\drivers\hrblqn.sys','');
QuarantineFile('C:\windows\System32\drivers\hjbmcg.sys','');
QuarantineFile('C:\windows\System32\drivers\hfodqm.sys','');
QuarantineFile('C:\windows\System32\drivers\gvspdr.sys','');
DeleteFile('C:\windows\System32\drivers\hfodqm.sys');
DeleteFile('C:\windows\System32\drivers\hjbmcg.sys');
DeleteFile('C:\windows\System32\drivers\hrblqn.sys');
DeleteFile('C:\windows\System32\drivers\joblhu.sys');
DeleteFile('C:\windows\System32\drivers\jpvkqr.sys');
DeleteFile('C:\windows\System32\drivers\mhtaiu.sys');
DeleteFile('C:\windows\System32\drivers\mkwdpi.sys');
DeleteFile('C:\windows\System32\msfsr.sys');
DeleteFile('C:\windows\System32\drivers\ntcgbf.sys');
DeleteFile('C:\windows\System32\drivers\rftgne.sys');
DeleteFile('C:\windows\System32\drivers\tihnff.sys');
DeleteFile('C:\windows\System32\drivers\ujebav.sys');
DeleteFile('C:\Documents and Settings\Metelkindv\Главное меню\Программы\Автозагрузка\sysfbm32.exe');
DeleteFile('C:\WINDOWS\nem220.dll');
DeleteFile('C:\WINDOWS\System32\94UJDE~1.DLL');
DeleteFile('C:\WINDOWS\wsem303.dll');DeleteFile('C:\Recycled\Q678340.exe');
DelBHO('{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}');
DelBHO('{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}');
DelBHO('{00000010-6F7D-442C-93E3-4A4827C2E4C8}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-111111111157}');
DeleteService('ewoefn');
DeleteService('eimmcc');
DeleteService('awqrbw');
DeleteService('cccqli');
DeleteService('cvmnnm');
DeleteService('hfodqm');
DeleteService('hjbmcg');
DeleteService('hrblqn');
DeleteService('joblhu');
DeleteService('jpvkqr');
DeleteService('mhtaiu');
DeleteService('mkwdpi');
DeleteService('msfsr');
DeleteService('ntcgbf');
DeleteService('rftgne');
DeleteService('tihnff');
DeleteService('ujebav');
DeleteFile('cvmnnm.sys');
DeleteFile('eimmcc.sys');
DeleteFile('ewoefn.sys');
DeleteFile('awqrbw.sys');
DeleteFile('cccqli.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (лог HiJack тоже)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Установите Service Pack 3 для Windows ХР (может потребоваться активация).
Установите обновления безопасности на Windows.
-
-
Junior Member
- Вес репутации
- 51
thyrex,
скрипт выполнил, файлы карантина и новые логи во вложении
Последний раз редактировалось AndreyKa; 11.05.2010 в 12:38.
Причина: Убрал карантин
-
virus.zip из вложений удалите и пришлите как положено
Пофиксите в hiJack
Код:
O20 - AppInit_DLLs: kеrnеl32.dll MsgPlusLoader.dll
O21 - SSODL: Shell - {3ABAD330-2925-4AE1-8158-94E9FCD3E3E9} - mswshell.dll (file missing)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\MsgPlusLoader.dll','');
QuarantineFile('mswshell.dll','');
QuarantineFile('C:\WINDOWS\System32\mspmspsv.dll','');
DeleteFile('mswshell.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','Shell');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
thyrex, простите, что значит "Пофиксите в hiJack"
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
Файл карантина отправил, логи прикладываю
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Что сейчас с проблемой?
Весь вечер система работала нормально, посмотрим дальше утром сообщу. Спасибо
-
Поставьте SP3(может потребоваться активация)+ все обновления.
-
-
Junior Member
- Вес репутации
- 51
thyrex, Спасибо. Всю ночь система отрабтала без сбоев. Надеюсь все нормально. Спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 62
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\metelkindv\главное меню\программы\автозагрузка\sysfbm32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Ursnif.8, AVAST4: Win32:Crypt-GHH [Drp] )
-