Окно с информацией "Неожиданно завершен системный процесс services.exe с кодом состояния 1282" и через минуту перезагрузка

Printable View

04.09.2010, 10:25
corvin_

Окно с информацией "Неожиданно завершен системный процесс services.exe с кодом состояния 1282" и через минуту перезагрузка

Сначала обратил внимание, что просходило использование интернет, когда я им не пользовался.
Затем возникло окно с информацией "Неожиданно завершен системный процесс services.exe с кодом состояния 1282" и через минуту произходила перезагрузка.
После перезагрузки, в окне ввода пароля в систему, уже снова появлялось это окно, вообщем дальше пароля войти не удавалось.
Загрузился в безопасном режиме (кстати, у обладателям беспроводных клавиатур, придется доставать для этого обычную проводную), восстановился по точке восстановления системы на день раньше(хм, не знал что точка восстановления создается каждый день).

1. Сделал проверку AVP:
Что выудил из отчета (правда там еще было):

C:\Documents and Settings\root\Local Settings\Temp\jar_cache3103472779883835017.tmp/AppleT.class, обнаружено: троянская программа 'Exploit.Java.Agent.de'.
c:\documents and settings\root\local settings\temp\jar_cache3103472779883835017.tmp/AppleT.class удален.

C:\Documents and Settings\root\Local Settings\Temp\jar_cache7280880873504024884.tmp, обнаружено: троянская программа 'Exploit.Java.Agent.de'.
c:\documents and settings\root\local settings\temp\jar_cache7280880873504024884.tmp вылечен.

C:\WINDOWS\explorere.exe, обнаружено: троянская программа 'Trojan-PSW.Win32.LdPinch.gur'.
c:\windows\explorere.exe удален

C:\WINDOWS\system32\_tmpf, обнаружено: троянская программа 'Trojan-Dropper.Win32.Agent.btzb'.
c:\windows\system32\_tmpf удален.

C:\System Volume Information\_restore{0B9F6122-F060-494A-9EC7-712293C3B485}\RP798\A0132108.sys, обнаружено: потенциально опасное ПО 'not-a-virusSWTool.Win32.MPR.015'.
c:\system volume information\_restore{0b9f6122-f060-494a-9ec7-712293c3b485}\rp798\a0132108.sys удален.

2. Проверка с помощью CureIt.
Для следующей проверки загрузится в любом из трех безопасных режимов неполучается - идет список загружаемых драйверов и доходит до "для того чтобы загрузить sptd.sys нажмите enter", нажимая или ненажимая его происходит перезагрузка компьютера.
Был проверен в обчном режиме.
Так компьютер выключался, из-за отключения электроэнергии отчет не сохранен, помню что были найдены и удалены:

svchost.exe: ext.exe кажется так писался
java downloader

3.
1) На данный момент после удаления вирусов AVP и CureIt использование инета само не происходит, разве что при включении инета, svchost активизируется идет потребление инета, затем все уходит на ноль, не обращал внимание ранее было ли так.
2) и не работает загрузка в безопасном режиме, через F8
04.09.2010, 13:03
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

[code]
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
[/code]

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteService('FCI');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
04.09.2010, 14:28
corvin_

Пофиксил, осталась строка:
[code]
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
[/code]
попробовал еще раз, только её все равно осталась

[B]quarantine.zip[/B] прислал.
Логи во вложении.
04.09.2010, 18:35
миднайт

Чисто. Установите 3 сервис пак на систему. Internet Explorer обновите.
04.09.2010, 18:53
corvin_

окей, спасибо!
а разве невозможность загрузиться в безопасном режиме с этим связано??(это то что осталось)
05.09.2010, 02:44
миднайт

В AVZ Файл - Восстановление системы - 10 пункт отметить - Выполнить. Проверяйте загрузку в безопасном.
05.09.2010, 12:48
corvin_

Все исправлено, спасибо!!!
06.09.2010, 12:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]