Cамоперезагрузка 1 минута (NT AUTHORITY\SYSTEM) c кодом 128

**sto** · 16.06.2010, 20:12

XP SP1, восстановление системы не нашел (а есть ли оно там?)

При загрузке выскакивает окошко на перезагрузку через 1 минуту (NT AUTHORITY\SYSTEM) c кодом 128.
В safe mode не перегружается, но грузит процессор до 90% и память до 400 Мб процессом svchost

Вчера начал лечить. Запустил drweb, он нашел троянца (есть в карантине, могу прислать). Нашел еще 2 подозрительных похожих файла (1 в system32, другой в temp), но drweb не считает их вирусом, на всякий случай тоже убрал.

После перезагрузки в нормальный режим, вроде чисто, стал запускать avz - не может законнектиться на z-oleg.com. Проверил, также не пускает на drweb, касперского, вирусинфо

и проч. На остальные сайты - без проблем.

Сегодня продолжил. Все сайты доступны. Не понятно. Вроде все вылечилось. На всякий случай посылаю логи, вдруг что-то осталось.

Еще просьба, если можно убрать всё, что связано с:
-altiris и прочие удаленные администрирования (кроме radmin)
-symantec
-tesontel
Я их удалял-удалял, но что-то осталось. Ноутбук - бывший корпоративный, сейчас мне это не надо.

После лечения собираюсь поставить SP3 и касперского.

Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 17.06.2010, 13:10

Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
ExecuteWizard('TSW', 2, 2, true);
 DeleteService('AeXNSClient');
 DeleteService('WinPPPoverEthernet');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrSocket','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrRT','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrOS Console','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrOS','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrNetworkDriver','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrFC','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\PPPOE','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\MAC FRAME','EventMessageFile');
end.

Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

ftp://ftp.symantec.com/public/englis...moval_Tool.exe

**sto** · 21.06.2010, 12:38

Спасибо.
Восстановление системы вернулось скриптом (в принципе и сам нашел в инете, как его вернуть, если кому интересно http://support.microsoft.com/kb/Q283073 )

Установил SP3 и KIS. Кстати Касперский определил оба подозрительных файла (см. первый топик) как троянов.

**AndreyKa** · 21.06.2010, 14:38

Проблема решена?

Cамоперезагрузка 1 минута (NT AUTHORITY\SYSTEM) c кодом 128 (заявка № 81099)

Опции темы

Cамоперезагрузка 1 минута (NT AUTHORITY\SYSTEM) c кодом 128

Похожие темы

NT AUTHORITY SYSTEM

Cамоотключение Services.exe (NT AUTHORITY\SYSTEM) c кодом 128

Nt authority system

NT Authority system

nt authority\system

Метки для этой темы

Ваши права в разделе