Код состояния 1073741819

Printable View

17.08.2010, 23:53
Наталия1972

Код состояния 1073741819

Здравствуйте! Помогите, пожалуйста!
При запуске на ноутбуке стала выскакивать такая таблица:

"Система завершает работу. Сохраните данные и выйдете из системы. Все несохраненные изменения будут потеряны. Отключение системы вызвано NT AUTHORITI\SISTEM. Сообщение: неожиданно завершен процесс C:\Windows\Sistem32\lass.exe Код состояния 1073741819. Будет произведена перезагрузка системы."

В безопасном режиме тоже самое! Комп начинает перегружаться и.....зависает на несколько часов!

Чтобы прекратить перезагрузку я в командной строке ввела shutdown -a.
USB заблокированы, интернет тоже не работает.
Сделала проверку с помощью CureIt! [B][U]не[/U][/B] в безопасном режиме - в безопасном не работает НИЧЕГО! Нашлась какая-то дрянь в system 32. Запустила AVZ и HijackThis. Логи прилагаю. Комп заработал, но как-то странно помигивает.
А что дальше делать? Или это все?
Спасибо!
18.08.2010, 00:06
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wxvault.dll','');
QuarantineFile('C:\WINDOWS\system32\myejrjlt.dll','');
QuarantineFile('C:\WINDOWS\system32\detoured.dll','');
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
18.08.2010, 00:07
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wxvault.dll','');
QuarantineFile('C:\WINDOWS\system32\myejrjlt.dll','');
DeleteFile('C:\WINDOWS\system32\myejrjlt.dll');
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
19.08.2010, 01:09
Наталия1972

Выполнила скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wxvault.dll','');
QuarantineFile('C:\WINDOWS\system32\myejrjlt.dll','');
QuarantineFile('C:\WINDOWS\system32\detoured.dll','');
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
И снова выскочила зловредная табличка:
"Система завершает работу. Сохраните данные и выйдете из системы. Все несохраненные изменения будут потеряны. Отключение системы вызвано NT AUTHORITI\SISTEM. Сообщение: неожиданно завершен процесс C:\Windows\Sistem32\lass.exe Код состояния 1073741819. Будет произведена перезагрузка системы."

Карантин выслала, логи присоедила.
Да и интернет опять не открывается - высылаю все с другого компа.

P.S.Спасибо за помощь!
19.08.2010, 07:12
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\myejrjlt.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [B]log.txt[/B] и [B]info.txt[/B]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
20.08.2010, 02:18
Наталия1972

Спасибо! Все сделала! (Надеюсь - правильно).
20.08.2010, 08:23
polword

[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
[/CODE]

В остальном подозрительного нет.

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
20.08.2010, 12:51
thyrex

Выполните скрипт в AVZ
[CODE]begin
DeleteFile('C:\WINDOWS\system32\tmp.tmp');
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Теперь ничего плохого
21.08.2010, 02:04
Наталия1972

Профиксила!
Internet-Explorer 8 не устанавливается и пишет, что обновлений нет. :(( ???

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Скрипт в AVZ выполнила! Спасибо! А теперь все или еще что-то нужно сделать для защиты?
Спасибо за помощь!!!
22.08.2010, 02:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\myejrjlt.dll - [B]Trojan.Win32.Inject.ateh[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4657980, AVAST4: Win32:MalOb-CG [Cryp] )[/LIST][/LIST]