-
Junior Member
- Вес репутации
- 50
Окно с информацией "Неожиданно завершен системный процесс services.exe с кодом состояния 1282" и через минуту перезагрузка
Сначала обратил внимание, что просходило использование интернет, когда я им не пользовался.
Затем возникло окно с информацией "Неожиданно завершен системный процесс services.exe с кодом состояния 1282" и через минуту произходила перезагрузка.
После перезагрузки, в окне ввода пароля в систему, уже снова появлялось это окно, вообщем дальше пароля войти не удавалось.
Загрузился в безопасном режиме (кстати, у обладателям беспроводных клавиатур, придется доставать для этого обычную проводную), восстановился по точке восстановления системы на день раньше(хм, не знал что точка восстановления создается каждый день).
1. Сделал проверку AVP:
Что выудил из отчета (правда там еще было):
C:\Documents and Settings\root\Local Settings\Temp\jar_cache3103472779883835017.tmp/AppleT.class, обнаружено: троянская программа 'Exploit.Java.Agent.de'.
c:\documents and settings\root\local settings\temp\jar_cache3103472779883835017.tmp/AppleT.class удален.
C:\Documents and Settings\root\Local Settings\Temp\jar_cache7280880873504024884.tmp, обнаружено: троянская программа 'Exploit.Java.Agent.de'.
c:\documents and settings\root\local settings\temp\jar_cache7280880873504024884.tmp вылечен.
C:\WINDOWS\explorere.exe, обнаружено: троянская программа 'Trojan-PSW.Win32.LdPinch.gur'.
c:\windows\explorere.exe удален
C:\WINDOWS\system32\_tmpf, обнаружено: троянская программа 'Trojan-Dropper.Win32.Agent.btzb'.
c:\windows\system32\_tmpf удален.
C:\System Volume Information\_restore{0B9F6122-F060-494A-9EC7-712293C3B485}\RP798\A0132108.sys, обнаружено: потенциально опасное ПО 'not-a-virusSWTool.Win32.MPR.015'.
c:\system volume information\_restore{0b9f6122-f060-494a-9ec7-712293c3b485}\rp798\a0132108.sys удален.
2. Проверка с помощью CureIt.
Для следующей проверки загрузится в любом из трех безопасных режимов неполучается - идет список загружаемых драйверов и доходит до "для того чтобы загрузить sptd.sys нажмите enter", нажимая или ненажимая его происходит перезагрузка компьютера.
Был проверен в обчном режиме.
Так компьютер выключался, из-за отключения электроэнергии отчет не сохранен, помню что были найдены и удалены:
svchost.exe: ext.exe кажется так писался
java downloader
3.
1) На данный момент после удаления вирусов AVP и CureIt использование инета само не происходит, разве что при включении инета, svchost активизируется идет потребление инета, затем все уходит на ноль, не обращал внимание ранее было ли так.
2) и не работает загрузка в безопасном режиме, через F8
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteService('FCI');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Пофиксил, осталась строка:
Код:
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
попробовал еще раз, только её все равно осталась
quarantine.zip прислал.
Логи во вложении.
-
Чисто. Установите 3 сервис пак на систему. Internet Explorer обновите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
окей, спасибо!
а разве невозможность загрузиться в безопасном режиме с этим связано??(это то что осталось)
-
В AVZ Файл - Восстановление системы - 10 пункт отметить - Выполнить. Проверяйте загрузку в безопасном.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Все исправлено, спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
