Ошибка lsass.exe и дальнейшая перезагрузка компьютера.

**Vovavlasenko** · 04.05.2018, 11:29

Здравствуйте. Начала вылетать Opera, а при запуске других программ(плеера..) , вылазит сообщение о критическом сбое ,и компьютер перезагружается(Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния 80000003. Необходимо перезагрузить компьютер.). Cureit, Malwarebytes вылетают с ошибкой , при сканировании в безопасном режиме.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.05.2018, 11:33

Уважаемый(ая) Vovavlasenko, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 05.05.2018, 05:19

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Виталик\AppData\Local\Wide_Angle_Software_Ltd\ISSCH\issch.exe','');
 QuarantineFileF('C:\Users\Виталик\AppData\Local\Wide_Angle_Software_Ltd\ISSCH', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('C:\Users\Виталик\AppData\Local\Wide_Angle_Software_Ltd\ISSCH\issch.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Vovavlasenko** · 09.05.2018, 11:59

Здравствуйте. Вот лог AdwCleaner.

SQ · 09.05.2018, 19:43

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Vovavlasenko** · 10.05.2018, 12:33

Доброго времени суток. Вот отчеты Farbar Recovery Scan Tool.

SQ · 10.05.2018, 21:30

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-291438655-3396835340-723689070-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
File: C:\Windows\system32\Drivers\utqymjgx.sys
File: C:\Windows\system32\Drivers\utqymjgy.sys
File: C:\Windows\system32\Drivers\acuel1u4.sys
File: C:\Windows\hh.exe
2018-05-03 22:58 - 2018-05-03 22:58 - 000000000 ____D C:\Users\Все пользователи\RegRun
2018-05-03 22:58 - 2018-05-03 22:58 - 000000000 ____D C:\ProgramData\RegRun
2018-05-03 22:56 - 2018-05-03 23:04 - 000000000 ____D C:\Users\Виталик\Documents\RegRun2
Folder: C:\Users\Виталик\AppData\Local\pip
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers1: [AIMPClassic] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers4: [AIMPClassic] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
Task: {3565DA9D-6A16-4344-8DC6-09DDD55800D0} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {4E7A38D3-3359-4A61-9D55-BCF49BAD7F61} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {641F20D4-96BD-4761-989D-310EE0A2A203} - \{0370F38E-915B-439A-997A-FF26D6AB3A02} -> No File <==== ATTENTION
Task: {658C636E-8E94-4D61-8BCE-AA42523E478B} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {B608A8BC-52A6-42B3-8C43-15C0196333F4} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {E14CE0E9-339F-4401-B476-5C861D208041} - \{BF372E5E-4300-480A-8B37-893D700214F2} -> No File <==== ATTENTION
Task: {E474D81F-145C-466C-A6C7-31E5957247B1} - \{DCC998D3-61A2-4B14-83A6-22075FCCA801} -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\win.ini:frp34d [226]
AlternateDataStreams: C:\Windows\system32\109.105.133.36:7777 [0]
AlternateDataStreams: C:\ProgramData\TEMP:28AE6654 [169]
AlternateDataStreams: C:\ProgramData\TEMP:661DFA1C [137]
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [128]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:28AE6654 [169]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:661DFA1C [137]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [128]
HKU\S-1-5-21-291438655-3396835340-723689070-1000\Software\Classes\scrfile: "%1" /S <==== ATTENTION
HKU\S-1-5-21-291438655-3396835340-723689070-1000\Software\Classes\.scr: scrfile => "%1" /S <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Vovavlasenko** · 10.05.2018, 22:18

Файл Fixlog прикрепил.

SQ · 11.05.2018, 06:48

По каким-то причинам у Вас Fixlist.txt не воспринимает кириллицу.

Сообщите, что спроблемой?

**Vovavlasenko** · 11.05.2018, 16:00

Здравствуйте. Проблема осталась,Опера вылетает, если запустить плеер даже без других программ , вылазит сообщение о критическом сбое.

- - - - -Добавлено - - - - -

Также появляется сообщение о критическом сбое во время сканирования cureit'ом в безопасном режиме.

SQ · 11.05.2018, 18:31

В AVZ выполните следующее:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

**Vovavlasenko** · 11.05.2018, 19:24

скрипт выполнил.

SQ · 11.05.2018, 22:14

Понаблюдайте и сообщите результат.

**Vovavlasenko** · 13.05.2018, 13:11

Пробовал сканировать cureit'ом в обычном режиме, итог - программная ошибка 1722 далее сообщение о критическом сбое.
В безопасном режиме тоже самое. AVZ сканер ничего не обнаружил.

SQ · 14.05.2018, 01:08

приложите новые логи FRST.

**Vovavlasenko** · 14.05.2018, 12:45

Логи прикрепил.

SQ · 15.05.2018, 01:15

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File:  C:\Windows\system32\drivers\Partizan.sys
2018-05-03 22:56 - 2018-05-03 23:04 - 000000000 ____D C:\Users\Виталик\Documents\RegRun2
2018-05-03 22:56 - 2018-05-03 23:04 - 000000000 ____D C:\Users\Public\Documents\RegRunInfo
Folder: C:\Windows\CheckSur
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Vovavlasenko** · 15.05.2018, 09:37

Файл прикрепил.

SQ · 15.05.2018, 20:47

Похоже на следующую описанную угрозу.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
U0 Partizan; system32\drivers\Partizan.sys [X]
2018-05-03 22:56 - 2018-05-03 23:04 - 000000000 ____D C:\Users\Виталик\Documents\RegRun2
2018-05-03 22:55 - 2018-05-03 21:16 - 000000000 ____D C:\Program Files\UnHackMe
2018-05-03 22:54 - 2018-05-03 22:55 - 019020749 _____ C:\Users\Виталик\Downloads\unhackmeb.zip
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Сообщите, что с проблемой?

**Vovavlasenko** · 17.05.2018, 15:04

Проблема осталась.

Ошибка lsass.exe и дальнейшая перезагрузка компьютера. (заявка № 218821)

Опции темы