Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Cамоотключение компьютера (NT AUTHORITY\SYSTEM) (заявка № 79427)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52

    Thumbs up Cамоотключение компьютера (NT AUTHORITY\SYSTEM)

    Описание проблемы:
    1. при включенном интернете через минуту после запуска выскакивает сообщение о критической ошибке NT AUTHORITY\SYSTEM с таймером, после чего через 60 секунд машина перезагружается. Процесс повторяется до тех пор пока не выключить интернет, в этом случае машина после загрузки ведет себя нормально.
    2. Иногда сразу после загрузки также появляется сообщение об ошибке с упоминанием ls shell, c:\windows\system32\lsass.exe

    Попытки устранения:
    - команда shutdown -a помогает избежать отключения, но начинаются дикие тормоза системы, отказывае IE и Firefox
    - NOD, TroyanRemover, CureIt, avz = не видят ничего даже в безопасном режиме
    - AVPtool = после 8 часов сканирования нашел Trojan.Grabber, но проблема осталась.

    Прошу помощи в решении проблемы, файлы диагностики прилагаются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Обновите базы AVZ и сделайте логи в нормальнном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Ок, файлы диагностики обновлены и добавлены. Надеюсь на скорую помощь в решении проблемы! Реально невозможно работать на машине.

  5. #4
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Прошу помощи в решении вопроса с самоотключением!

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(20);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Больше плохого в этих логах не видно

    Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Cкрипт был выполнен, утилита скачена.
    Увы, утилита попросила подключить Интернет для какой-то Microsoft Restore, и сразу после подключения И-нета вернулось окно NT AUTHORITY\SYSTEM и перезагрузило систему. И так же возникает окно об ошибке LSA SHELL (EXPORT VERSION).
    Что еще можно сделать?

    В сообщении об ошибке NT AUTHORITY\SYSTEM также написано: Неожиданное завершение системного процесса C:\WINDOWS\system32\lsas.exe c кодом -1073741819


    Лог утилиты прилагается.
    Последний раз редактировалось Polis; 27.05.2010 в 21:43.

  8. #7
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Up! Все еще требуется помощь! Неужели это очень сложный вирус или троян?

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    c:\windows\system32\mfkvchnq.dll проверьте на virustotal
    Ссылку на результат проверки сообщите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Cделано, вот ссылка:
    http://www.virustotal.com/ru/analisi...743-1274784542

    Добавлено через 10 часов 26 минут

    Ребят, уже три дня проблемы решить не получается.У кого еще могут быть мысли по лечению, исправлению?

    Обнаружил сегодня после установки Commodo firewall: если заблокировать ВЕСЬ траффик, то окно с ошибкой NT AUTHORITY не появляется после загрузки системы, броузеры IE, FireFox работают .Только включается и-нет - сразу лезет ошибка, не работают все броузеры.
    То есть, ощущение, что сигнал на запуск ошибки идет извне. Могу ошибаться.
    ОЧЕНЬ прошу помочь!
    Последний раз редактировалось Polis; 28.05.2010 в 23:44. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    последние обновления на windows все стоят?

  12. #11
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Думаю,все. Windows update включен.
    Но обновить сейчас не получается, т.к И-нет не работает. Пишу здесь и гружу антивирусный софт с другой машины.

    Добавлено через 7 часов 48 минут

    Прощу помощи у специалистов! Проблема не решена!
    Последний раз редактировалось Polis; 29.05.2010 в 21:56. Причина: Добавлено

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте для начала переименовать файл c:\windows\system32\mfkvchnq.dll

    Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Во что именно его переименовать?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Да любой символ к имени добавьте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Лог добавлен,кое-какие находки есть в нем.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

  18. #17
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Ура! После удаления в MBAM симптомы исчезли. Запустился и-нет, ошибка пропала. Посмотрю,как будет до конца дня, пока полет нормальный.

    Что это все-таки было? На обычный NT AUTHORITY\ SYSTEM, который считают древним вирусом, не очень похоже, сильно стойкий.
    И еще: c:\windows\system32\mfkvchnq.dll переименовать обратно к исходному?

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Polis Посмотреть сообщение
    c:\windows\system32\mfkvchnq.dll переименовать обратно к исходному?
    Пока не стоит. Вполне возможно, что помогло именно переименование. Файл запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите ComboFix

    FlashGet установите заново
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    17
    Вес репутации
    52
    Файл отправлен в виде архива virus.zip
    А ComboFix указанным способом не удаляется, выскакивает сообщение, что не найден такой файл.

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В карантине - Trojan.Win32.Scar.cgwc
    Так что файл удаляйте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Polis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. NT AUTHORITY\SYSTEM отключение
      От superqueer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.12.2010, 10:17
    2. Перезагрузка компьютера NT AUTHORITY/SYSTEM
      От Aleks-bogdan в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.08.2010, 17:27
    3. Ответов: 10
      Последнее сообщение: 02.06.2010, 08:40
    4. Отключение вызвано NY AUTHORITY\SYSTEM
      От svk1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.03.2010, 21:14
    5. Перезагрузка компьютера NT AUTHORITY/SYSTEM
      От PanterKa в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.09.2009, 20:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00059 seconds with 19 queries