-
Junior Member
- Вес репутации
- 51
При подключении ЛВС и интернет истема завершает работу из-за завершения процесса SERVICES.EXE с кодом состояния 128
День добрый!
Если не подключать локалку (и Инет), то всё работает без проблем. Также, если не логиниться и не загружать профиль, тоже все работает - общие папки, Консультант (висит на сервере) и т.п.
При подключении кабеля: "Неожиданно завершен системный процесс C:\WINNT\SYSTEM32\SERVICES.EXE с кодом состояния 128. Будет произведена перезагрузка системы.”
Затем система либо виснет, либо перегружается.
Система: windows server 2003 R2 service pack 2
Все апдейты установлены.
Утилитами проверено.
Что-то лезет через Нет, но выловить никак не могу!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
fomich
При подключении кабеля: "Неожиданно завершен системный процесс C:\WINNT\SYSTEM32\SERVICES.EXE с кодом состояния 128. Будет произведена перезагрузка системы.”
Затем система либо виснет, либо перегружается.
А железяка в порядке?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\K3Hjteh.exe,\\?\globalroot\systemroot\system32\imk4wnv.exe,
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('UPS.sys','');
QuarantineFile('C:\WINDOWS\System32\lserver.exe;C:\WINDOWS\System32\ws03res.dll','');
QuarantineFile(';C:\WINDOWS\system32\ws03res.dll;C:\WINDOWS\system32\w03a2409.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\imk4wnv.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\imk4wnv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 51
Железка в порядке. С отключенным кабелем, отрубленными ТСР/IP, UDP портами, с незагруженным профилем все работает стабильно.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\glob alroot\systemroot\system32\K3Hjteh.exe,\\?\globalr oot\systemroot\system32\imk4wnv.exe,
Это пунктик я уже пытался пофиксить, но он не убирается. То есть, при повторном сканировании он на своем месте.
Скрипт выполню, все логи пришлю в ближайшее время.
-
Junior Member
- Вес репутации
- 51
День добрый!
quarantine.zip закачал.
Пофиксил, скрипт выполнил.
Сервер работает нормально. Но какие-то хвосты остались. Не открывается ряд сайтов. В том числе, вирусинфо.
Новые логи прикреплены.
Извиняюсь за задержку.
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверьте доступ к сайтам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Все в порядке. Огромное спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\imk4wnv.exe - Trojan.Win32.Scar.cjmp ( DrWEB: Trojan.Packed.20385, BitDefender: Trojan.Generic.4160686, AVAST4: Win32:Rootkit-gen [Rtk] )
-
