-
Junior Member
- Вес репутации
- 49
ShutDown через 1 минуту
Бодрого Дня!!!
Описание проблемы: ПК был без антивиря долгое время.
При входе в систему под пользователем выскакивает что ваш ПК выкл. через 1 минуту и отсчет секунд до вык-ия.
Есть подозрение на вирь, но ни CureIt, ни AVZ не видят виря, последний нашел подозрительные файлы.
Прошу помочь!?!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
QuarantineFile('C:\WINDOWS\system32\reset5c.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 49
Выслал. Но в AVZ было написано что упаковался только winlogon.
-
Нет, оба попали. Но ничего плохого в них нет.
Установите все обновления безопасности на Windows, вышедшие после SP3.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Обновы уже в процессе.
А вот почему он ругается при входе на:
Программа завершает работу. Сохраните данные и выйдите из системы. Все несохранённые изменения будут утеряны. Отключение вызвано NT AUTHORITY\SYSTEM
Время до отключения 00:00:59
Сообщение
Неожиданно завершён системный процесс
C:\windows\system32\lsass.exe с кодом состояния 0. Будет произведена перезагрузка компьютера.
Добавлено через 9 минут
Еще если заходишь под юзером 1 допустим то сообщение выше, если под администратором то нет проблем. Как это понять!
Последний раз редактировалось IT service; 25.11.2010 в 17:06.
Причина: Добавлено
-
Он не ругается, он информирует.
Такое завершение системного процесса может являться результатом атаки снаружи. Отсюда и совет обновляться: есть надежда, что уязвимость будет закрыта, и атаки получат отлуп.
Почему на разных учетках по разному - не знаю. Пароли на обоих есть?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
На одной нет на 3 есть.
Проблема появилась вновь, после установки последнего обновления.
Последний раз редактировалось IT service; 25.11.2010 в 20:58.
Причина: Добавлено
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: reset5c - reset5c.dll (file missing)
2 Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\reset5c.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 49
Все выполнил, сообщение пропало.
Лог ниже
-
Обновите систему
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.4 или удалите старый.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\reset5c.dll - Trojan-Downloader.Win32.Piker.cyr ( DrWEB: Trojan.Proxy.18802, BitDefender: Trojan.Generic.KDV.73213, AVAST4: Win32:Malware-gen )
-