Показано с 1 по 11 из 11.

Cамоотключение Services.exe (NT AUTHORITY\SYSTEM) c кодом 128 (заявка № 79483)

  1. #1
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    5
    Вес репутации
    51

    Arrow Cамоотключение Services.exe (NT AUTHORITY\SYSTEM) c кодом 128

    Проблема похожа на:

    http://216.246.91.178/~virusinf/showthread.php?p=626795
    http://virusinfo.info/showthread.php?t=77339
    http://virusinfo.info/showthread.php?t=79427
    Но со своими ньюансами.


    ОС:Win2003
    Около суток назад стало появляться окно ошибки вроде Cамоотключение Services.exe (NT AUTHORITY\SYSTEM) c кодом состояния 128 и обратным таймером 60 сек. Потом выкл.

    Выключение можно отменить shutdown -a но после этого ложатся пачками службы (ничего не работает, типа сетевые принтеры итд). Серв жутко тормозит, хотя процессор не нагружен.
    При чем в логах чисто.

    Думал, что проблема как описываают на сайте Микрософта, когда такая ошибка вылазит из-за ключей в реестре со ссылками на несуществующие шары. Пофиксил - не помогло.

    В безопасном режиме НОД и AVZ не нашли ничего. CureIT отловил один Troyan.Download.60043 в файле с:\windows\system32\QW2CywG.exe и удалил его но проблема не пропала. Virus removal tool от Kaspera, скачаный по ссылке из Правил форума, как обычно "порвал на тряпки" кэш НОДа и занесенный CureITом в карантин файлик,но нового ничего не увидел.

    Если отключить локалку и Интернет выниманием шнура, окно ошибки не вылазит.
    Если убрать в настройках сетевого интерфейса шлюз и ДНС и подключить сетку,то ошибка тоже не вылазит и можно спокойно пользоваться локалкой. Но если после этого Шлюз и ДНС прописать заново, ошибка тут как тут. При чем снова в настройки зайти не получится:"Непредвиденная Ошибка"

    При визуальном осмотре папки System32 были обнаружены несколько подозрительных файлов с бредовыми именами: AM5meyG.exe, xrxr1Ci.exe, Upg351db.exe. Изолировал их.

    В безопасном режиме невозможно развернуть бекап-образ Acronisa из-за того, что служба RPC лежит. (возникла радикальная идея глобального отката системы). С диска акрониса тоже не выходит восстановиться - пишет, архивы повреждены. Но в винде с отключеным инетом проверка архивов на целостность проходит нормально. Если ничего не поможет, то наверно так и буду восстанавливать. Но, похоже, нет гарантий что он не прицепится снова, так как до сих пор не понятно каким путем оно проникло. Также нет уверенности, что зараза не прилипнет на свежепереустановленую ось.

    Предположительно было подцеплено при работе какого-то терминального санса в нете. Наиболее вероятно - с админскими правами.Флешек и дисков никто не сувал уже месяца четыре. Но в локалке еще есть пару локальных машин на ХР, которе обмениваются через расшареные папки.

    Прошу помощи.
    Вложения Вложения
    Последний раз редактировалось Ocarb; 27.05.2010 в 13:21. Причина: Добавление информации, исправление грамматических ош

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     RebootWindows(true);
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  4. #3
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    5
    Вес репутации
    51
    Загрузил запрошеный карантин. Архив весил около 432 мб. Если надо перезалить, дайте знать. Спасибо.

    Еще дополню. Сервер, на котором произошла беда, используется в основном для терминального доступа в сеансы тонких клиентов через Citrix. Но и по RDP Тоже ходят.

    C Вами общаюсь со здоровой машины на ХР в той же локалке. Шары поприбивал, файлики таскаю флешкой, которую все время проверяю.

    Сервер работает в полуаварийном режиме, то есть с притертыми параметрами шлюза и ДНС сетевого интерфейса. Программы, требующие связи с нетом перенесены на локальные машины (типа клиент-банк).

    Офис работает как будто нормально, но проблема все еще актуальна.

    Спасибо за скорую реакцию.

    Перегружать буду вечером.

    Добавлено через 25 минут

    А еще после вкл.откл инета на сет. интерфейсе и отмены отключения shutdown -a нельзя было запустить iexplore.exe. Окно появляется и исчезает. Без описаной процедуры (уже после ребута) работает нормально.

    Добавлено через 30 минут

    Если не трудно, скажите пожалуйста, что это такое, как пролезло, и самое главное
    как избегать подобного в дальнейшем.
    Последний раз редактировалось Ocarb; 27.05.2010 в 17:02. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('\\?\globalroot\systemroot\system32\aM5meyG.exe','');
     QuarantineFile('C:\WINDOWS\system32\QW2CywG.exe','');
     QuarantineFile('C:\WINDOWS\system32\aM5meyG.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\aM5meyG.exe');
     QuarantineFile('\\?\globalroot\systemroot\system32\QW2CywG.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\QW2CywG.exe');
     DeleteFile('C:\WINDOWS\system32\aM5meyG.exe');
     DeleteFile('C:\WINDOWS\system32\QW2CywG.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    end.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Пофиксте в HijackThis строку:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\glob alroot\systemroot\system32\QW2CywG.exe,\\?\globalr oot\systemroot\system32\aM5meyG.exe,
    После перезагрузки сделайте новый лог HijackThis и приложите сюда.

  6. #5
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    5
    Вес репутации
    51
    AndreyKa,

    Авария!!!

    Выполнил скрипт, написало что выполнено без ошибок, хотя файлы, в нем указаные (1. aM5meyG.exe, 2. QW2CywG.exe) были удалены еще до его (скрипта) запуска: первый был изолирован мной вручную, а второй прибил еще CureIT в режиме проверки в безопасном режиме.

    Далее пофиксил в HijackThis строку
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\glob alroot\systemroot\system32\QW2CywG.exe,\\?\globalr oot\systemroot\system32\aM5meyG.exe,
    Ну и перегрузился.

    После перезагрузки слетел порядок загрузки веников, я удивился но поправил, мало-ли - бывает.

    И тут!!! О Боги! Система перестала пускать в себя под любыми учетными записями. Возникает окошко логона, ввожу логин-пароль, вроде начинают грузиться службы (можно заметить как появляется и исчезает окно НАSPа) и снова окно Логона! и так хоть до бесконечности. Даже в безопасном режиме.

    Очень прошу помощи!

    Логи HijackThis и карантин AVZ прислать не могу, потому что не могу попасть в систему.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Ocarb Посмотреть сообщение
    После перезагрузки слетел порядок загрузки веников, я удивился но поправил, мало-ли - бывает.
    Не совсем понял, что вы делали?

  8. #7
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    5
    Вес репутации
    51
    Насчет поврежденных бекап-образов я погорячился. Это я в панике засунул диск от предыдущей версии Акрониса.

    Откатываю, а что делать? Хоть образ и не маленький(порядка 35Гиг). Людям завтра работать надо, а меня и так давно на тряпки порвать хотят.

    Добавлено через 4 минуты

    AndreyKa,

    В том то и прикол, что ничего! Просто дал команду на перезагрузку. Но у этого серва такие приколы изредка проскакивают.

    Неужели есть подозрение, что вирьокопался в Биосе?
    Последний раз редактировалось Ocarb; 31.05.2010 в 20:30. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Подозрительность надо обратить на тех, кто работает с сервером, используя права администратора компьютера/домена.

  10. #9
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    5
    Вес репутации
    51
    AndreyKa,

    Похоже, проблема слетания порядка загрузки винчестеров была на поверхности. И происходила из-за вставленой флешки.

    Как ни прискорбно мне это писать, но проблема решена не была. Эфективного решения в данном конкретном случае мы не узнаем никогда, потому что система была успешно восстановлена из Backup Архива. Соответственно все следы проблемы уже безвозвратно похоронены.

    Так что данную тему можно смело закрывать.

    Напоследок шутка в тему: Админы делятся на тех, кто еще не бекапится и на тех, кто УЖЕ бекапится. Я, слава Богу, отношусь ко вторым.



    Добавлено через 2 часа 25 минут

    Оппа! в изолированном и уже здесь упомянутом файле aM5meyG.exe, наконец-то НОД сумел обнаружить Win32/spy.Shiz.NBD троян. Если надо для коллекции, могу прислать архивчик строго с этим файлом.
    Последний раз редактировалось Ocarb; 01.06.2010 в 00:00. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    пришлите

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \it_inside!\virb.rar - Trojan-Spy.Win32.Shiz.ce ( DrWEB: archive: Trojan.Packed.20375, BitDefender: Trojan.Generic.4120052, NOD32: Win32/Spy.Shiz.NBD trojan )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Ocarb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. NT AUTHORITY\SYSTEM отключение
      От superqueer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.12.2010, 10:17
    2. Отключение вызвано NT AUTHORITY\SYSTEM
      От twin_0306 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2010, 01:09
    3. nt authority system services.exe
      От Слава в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.07.2010, 20:25
    4. Ответов: 3
      Последнее сообщение: 21.06.2010, 14:38
    5. Cамоотключение компьютера (NT AUTHORITY\SYSTEM)
      От Polis в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 01.06.2010, 09:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01246 seconds with 20 queries