-
Junior Member
- Вес репутации
- 53
Компьютер перезагружается NT AUTHORITY\SYSTEM
Здравствуйте.
Через минуту после включения система выдаёт окно с ошибкой NT AUTHORITY\SYSTEM (далее вариации либо остановка RPC либо "неожиданно завершён процесс system32\lsass.exe, код состояния 1073741819") после чего компьютер через 60 секунд перезагружается. Окно можно убрать, выполнив shutdown -a, но при следующем включении оно снова появляется. AVPTool не устанавливается, CureIt! после 5ти минут работы выдаёт синий экран. Интернет не работает, отключить восстановление системы невозможно. Буду признателен за любую помощь и с наступившим вас Новым Годом.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить в Хиджак:
Код:
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
O4 - HKLM\..\Run: [pviever] "C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe" hide
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\Documents and Settings\1\Cookies\userlib.dll','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe','');
QuarantineFile('C:\WINDOWS\system32\SearchIndexer.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe');
DeleteFile('C:\Documents and Settings\Александр Андреевич\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\Documents and Settings\1\Cookies\userlib.dll');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DeleteFile('C:\WINDOWS\Installer\718bb.msi');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи.
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
К сожалению, ничего не изменилось
-
Восстановление системы: включено -- Вполне возможно, что из-за этого. Надо отключить и повторить скрипт из http://virusinfo.info/showpost.php?p=551968&postcount=2
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
В свойствах "Мой Компьютер" исчезла вкладка "Восстановление системы", возможно ли отключить его иным способом?
-
В AVZ: Файл - Восстановление системы, выполнить пилюлю #6.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
после #6 восстановление системы отключилось, скрипт выполнил, компьютер перезагрузился, но сообщение опять появляется. Вкладка "восстановление системы" опять исчезла.
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Progs\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Progs\ICQLite\ICQLite.exe (file missing)
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\1\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(14);
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Ничего не изменилось, обновить базы не получается, т.к. заражённый компьютер не подключается к Интернету.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
Zahnradchen
обновить базы не получается, т.к. заражённый компьютер не подключается к Интернету
Обновите на том, с которого пишете сюда.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Всё заработало в лучшем виде, спасибо вам всем.
-
Базы можно будет перенести из директории Base
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 38
- В ходе лечения вредоносные программы в карантинах не обнаружены
-