-
Junior Member
- Вес репутации
- 50
Блокируется антивирус + отключение системы NT AUTHORITY\SYSTEM
Здравствуйте, помогите вылечить:
Win XP SP2 x86
Позавчера NOD32 блокировал 2 атаки, на следующий день во время работы случилось отключение системы NT AUTHORITY\SYSTEM с завершением процесса services.exe, код состояния 1073741819. Обнаружил что NOD отключен и не реагирует на запуск, как и AdAware.
Загружаясь в безопасный режим, слетает explorer.exe и система отключается NT AUTHORITY\SYSTEM - то с процессом services.exe 1073741819, то с DCOM. Когда наконец безопасный режим загрузился нормально, застал в процессах svhost.exe, очень долго грузящий процессор на 40%, его отключение ведет к все тому же NT AUTHORITY\SYSTEM.
Просканировал CureIt - удалил сотню троянов Trojan.Packed.20771. Но NOD, AVZ и Hijackthis все еще блокируются, переименование не помогает. В безопасном режиме все еще слетает explorer.exe система все так же отключается. Все еще длительная загрузка процессора на 40%, при том что в процессах это уже не отображается. Если не грузиться в безопасный режим, система не слетает и процессор никто не загружает
Последний раз редактировалось SfD; 30.09.2010 в 19:42.
Причина: неточность
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 50
Сделал лог. Как только подключил интернет, начал виснуть explorer.exe
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
\\?\globalroot\systemroot\system32\vaRUvrY.exe
\\?\globalroot\systemroot\system32\70bfwFP.exe
\\?\globalroot\systemroot\system32\ao2OyVx.exe
c:\windows\system32\xevcpa.exe
c:\windows\system32\tkymmo.exe
c:\program files\Common Files\keylog.txt
c:\windows\system32\ezsidmv.dat
c:\program files\Common Files\jqyrg4inedzz13m
c:\windows\system32\perfc019.dat
c:\windows\system32\perfh019.dat
Driver::
NetSvc::
Folder::
c:\program files\Common Files\2079d866
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
-
АВЗ уже должен запускаться, сделайте им логи.
-
-
Junior Member
- Вес репутации
- 50
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\mbr.sys','');
QuarantineFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\espBD8E.tmp','');
DeleteFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\espBD8E.tmp');
DeleteFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\mbr.sys');
RegSearch('HKLM','','espBD8E.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению.
-
-
Junior Member
- Вес репутации
- 50
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Control\Print\Providers\521497EC');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet002\Control\Print\Providers\521497EC');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Print\Providers\521497EC');
DeleteFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\espBD8E.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
-
Плохого нет, что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Проблемы нет! Спасибо огромное!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-