-
Junior Member
- Вес репутации
- 52
Cамоотключение компьютера (NT AUTHORITY\SYSTEM)
Описание проблемы:
1. при включенном интернете через минуту после запуска выскакивает сообщение о критической ошибке NT AUTHORITY\SYSTEM с таймером, после чего через 60 секунд машина перезагружается. Процесс повторяется до тех пор пока не выключить интернет, в этом случае машина после загрузки ведет себя нормально.
2. Иногда сразу после загрузки также появляется сообщение об ошибке с упоминанием ls shell, c:\windows\system32\lsass.exe
Попытки устранения:
- команда shutdown -a помогает избежать отключения, но начинаются дикие тормоза системы, отказывае IE и Firefox
- NOD, TroyanRemover, CureIt, avz = не видят ничего даже в безопасном режиме
- AVPtool = после 8 часов сканирования нашел Trojan.Grabber, но проблема осталась.
Прошу помощи в решении проблемы, файлы диагностики прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ и сделайте логи в нормальнном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Ок, файлы диагностики обновлены и добавлены. Надеюсь на скорую помощь в решении проблемы! Реально невозможно работать на машине.
-
Junior Member
- Вес репутации
- 52
Прошу помощи в решении вопроса с самоотключением!
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Больше плохого в этих логах не видно
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Cкрипт был выполнен, утилита скачена.
Увы, утилита попросила подключить Интернет для какой-то Microsoft Restore, и сразу после подключения И-нета вернулось окно NT AUTHORITY\SYSTEM и перезагрузило систему. И так же возникает окно об ошибке LSA SHELL (EXPORT VERSION).
Что еще можно сделать?
В сообщении об ошибке NT AUTHORITY\SYSTEM также написано: Неожиданное завершение системного процесса C:\WINDOWS\system32\lsas.exe c кодом -1073741819
Лог утилиты прилагается.
Последний раз редактировалось Polis; 27.05.2010 в 21:43.
-
Junior Member
- Вес репутации
- 52
Up! Все еще требуется помощь! Неужели это очень сложный вирус или троян?
-
c:\windows\system32\mfkvchnq.dll проверьте на virustotal
Ссылку на результат проверки сообщите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Cделано, вот ссылка:
http://www.virustotal.com/ru/analisi...743-1274784542
Добавлено через 10 часов 26 минут
Ребят, уже три дня проблемы решить не получается.У кого еще могут быть мысли по лечению, исправлению?
Обнаружил сегодня после установки Commodo firewall: если заблокировать ВЕСЬ траффик, то окно с ошибкой NT AUTHORITY не появляется после загрузки системы, броузеры IE, FireFox работают .Только включается и-нет - сразу лезет ошибка, не работают все броузеры.
То есть, ощущение, что сигнал на запуск ошибки идет извне. Могу ошибаться.
ОЧЕНЬ прошу помочь!
Последний раз редактировалось Polis; 28.05.2010 в 23:44.
Причина: Добавлено
-
последние обновления на windows все стоят?
-
-
Junior Member
- Вес репутации
- 52
Думаю,все. Windows update включен.
Но обновить сейчас не получается, т.к И-нет не работает. Пишу здесь и гружу антивирусный софт с другой машины.
Добавлено через 7 часов 48 минут
Прощу помощи у специалистов! Проблема не решена!
Последний раз редактировалось Polis; 29.05.2010 в 21:56.
Причина: Добавлено
-
Попробуйте для начала переименовать файл c:\windows\system32\mfkvchnq.dll
Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Во что именно его переименовать?
-
Да любой символ к имени добавьте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Лог добавлен,кое-какие находки есть в нем.
-
- удалите в MBAM
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
-
-
Junior Member
- Вес репутации
- 52
Ура! После удаления в MBAM симптомы исчезли. Запустился и-нет, ошибка пропала. Посмотрю,как будет до конца дня, пока полет нормальный.
Что это все-таки было? На обычный NT AUTHORITY\ SYSTEM, который считают древним вирусом, не очень похоже, сильно стойкий.
И еще: c:\windows\system32\mfkvchnq.dll переименовать обратно к исходному?
-
Сообщение от
Polis
c:\windows\system32\mfkvchnq.dll переименовать обратно к исходному?
Пока не стоит. Вполне возможно, что помогло именно переименование. Файл запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Удалите ComboFix
FlashGet установите заново
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Файл отправлен в виде архива virus.zip
А ComboFix указанным способом не удаляется, выскакивает сообщение, что не найден такой файл.
-
В карантине - Trojan.Win32.Scar.cgwc
Так что файл удаляйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-