Перейти к содержанию
Правила раздела

NT AUTHORITY\SYSTEM перегрузка

Mari-an

От Mari-an
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Mari-an Новичок

Mari-an

Опубликовано
Опубликовано

Здравствуйте у меня проблема: После перезагрузки появляется окошко с предупреждением, что комп будет перезагружен через 1 мин, вызвано это - NT AUTHORITY\SYSTEM. Чтобы избавиться от перезагрузки я ввела в командную строку shutdown -a -вроде так =).

 

Утилита от симантека не помогает.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Пофиксить в HijackThis следующие строчки

 	
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

 

Проверить на http://www.virustotal.com (линк запостить)

C:\WINDOWS\system32\ckldrv.sys

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Обновите базы AVZ и повторите логи.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Mari-an Новичок

Mari-an

Опубликовано
  • Автор
Опубликовано

Антивирус Версия Обновление Результат

a-squared 4.0.0.101 2009.03.12 -

AhnLab-V3 5.0.0.2 2009.03.12 -

AntiVir 7.9.0.109 2009.03.12 -

Authentium 5.1.0.4 2009.03.12 -

Avast 4.8.1335.0 2009.03.12 -

AVG 8.0.0.237 2009.03.12 -

BitDefender 7.2 2009.03.12 -

CAT-QuickHeal 10.00 2009.03.12 -

ClamAV 0.94.1 2009.03.12 -

Comodo 1051 2009.03.12 -

DrWeb 4.44.0.09170 2009.03.12 -

eSafe 7.0.17.0 2009.03.12 -

eTrust-Vet 31.6.6388 2009.03.09 -

F-Prot 4.4.4.56 2009.03.12 -

F-Secure 8.0.14470.0 2009.03.12 -

Fortinet 3.117.0.0 2009.03.12 -

GData 19 2009.03.12 -

Ikarus T3.1.1.45.0 2009.03.12 -

K7AntiVirus 7.10.668 2009.03.12 -

Kaspersky 7.0.0.125 2009.03.12 -

McAfee 5551 2009.03.12 -

McAfee+Artemis 5551 2009.03.12 -

Microsoft 1.4405 2009.03.12 -

NOD32 3931 2009.03.12 -

Norman 6.00.06 2009.03.12 -

nProtect 2009.1.8.0 2009.03.12 -

Panda 10.0.0.10 2009.03.12 -

PCTools 4.4.2.0 2009.03.12 -

Prevx1 V2 2009.03.12 -

Rising 21.20.32.00 2009.03.12 -

SecureWeb-Gateway 6.7.6 2009.03.12 -

Sophos 4.39.0 2009.03.12 -

Sunbelt 3.2.1858.2 2009.03.12 -

Symantec 1.4.4.12 2009.03.12 -

TheHacker 6.3.3.0.280 2009.03.12 -

TrendMicro 8.700.0.1004 2009.03.12 -

VBA32 3.12.10.1 2009.03.12 -

ViRobot 2009.3.12.1647 2009.03.12 -

VirusBuster 4.5.11.0 2009.03.12 -

Дополнительная информация

File size: 24608 bytes

MD5...: 38ad4704b2364e0264edfbc28964b2eb

SHA1..: dee08f94e69385f22f40b65824e7aad78323343c

SHA256: c52676788e1198c77bb18343951d46b78fa8f97f903b3f09d2b4e5f582b07b18

SHA512: bc74a4e7ba58022bd83c3a96a798a52d453cf86f96ed61b06c236fcb822d5c26

43c8d6d3ebd5bb667848c60800ea5f58bd62e1ee4fcb828afbeda2ce31ac5c6f

ssdeep: 768:tWKXO/T8K4czrAThWjjDeZA9vvceZpYtQVz:tN6T4GXnz

 

PEiD..: -

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x3220

timedatestamp.....: 0x3899eab7 (Thu Feb 03 20:53:11 2000)

machinetype.......: 0x14c (I386)

 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x240 0x1ec0 0x1ec0 6.31 52eed19c4275bda5426e953f47c9269d

.data 0x2100 0xd54 0xd60 4.78 bd3dfc49206107537c185e250c9549a7

.idata 0x2e60 0x3ba 0x3c0 5.03 cff8bf6964c36857b9e7fb406b219e61

INIT 0x3220 0x1f5 0x200 5.54 570730ee2d3214c93f75571a430041a9

.reloc 0x3420 0x272 0x280 5.90 47c07e6d15406d3accf237aee488e9c8

 

( 1 imports )

> ntoskrnl.exe: ExFreePool, ZwClose, ObReferenceObjectByHandle, PsCreateSystemThread, KeInitializeSemaphore, ExAllocatePoolWithQuotaTag, IoCreateSymbolicLink, RtlInitUnicodeString, IoCreateDevice, IoDeleteDevice, IoDeleteSymbolicLink, ObfDereferenceObject, KeWaitForSingleObject, IofCompleteRequest, KeSetPriorityThread, KeGetCurrentThread, KeReleaseSemaphore, ExAllocatePoolWithTag, RtlTimeToTimeFields, KeQuerySystemTime, strchr, ExSystemTimeToLocalTime, ZwReadFile, _stricmp, ZwWriteFile, ZwQueryInformationFile, ZwCreateFile, ZwSetInformationFile, RtlQueryRegistryValues, RtlWriteRegistryValue, RtlUnwind

 

 

 

Пофиксить в HijackThis следующие строчки

К своему стыду незнаю, что такое пофиксить, то сделала остальное. Сейчас не выдало ошибки этой =).

Надеюсь помогло =)Спасибо!

У меня еще проблема была, при переходе через поисковитк на нужные страницы, переходило иногда на какую-то фигню =). Не то, что требовалось и адрес всегда одинаковый zlo-x .. что-то там. Как думаете это из-за того же?

 

Кстати Касперский это вирус, который вы я надеюсь помогли мне победить не видел. раз 5 проверяла..

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
Опубликовано

если так обновлятся незахочет то вот скрипт

begin
SetAVZGuardStatus(true);
ExecuteAVUpdate;
RebootWindows(true);
end.

машина перезагрузится - и можете снимать спокойно логи :happybirth:

Ссылка на комментарий
Поделиться на другие сайты
Dole Новичок

Dole

Опубликовано
Опубликовано

У меня абсолютно те же симптомы, сразу же после загрузки сообщение от NT authority о перезагрузке, но предложенные в этом топе меры не подходят. Логи прилагаю

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Skeme Новичок

Skeme

Опубликовано
Опубликовано

всем привет!

сегодня столкнулся тоже с такой же проблемой..

но из всех предложеных вариантов ни один не помог..

может с вирусои за 5 лет изменения произошли)))

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
bugor Новичок

bugor

Опубликовано
Опубликовано

Тоже такую заразу подцепил кис увидел но ничего сделать не смог.Отсчет на перезагрузку начинался при открытии браузера. Аvz базы обновил и прогнал на поиск (лечение, удаление) результата нет (может что не так делал).Потом получилось вручную загнать в карантин киса проблема перестала появляться.

avz_log1.txt

post-7443-1238827800_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Тоже такую заразу подцепил кис увидел но ничего сделать не смог.Отсчет на перезагрузку начинался при открытии браузера. Аvz базы обновил и прогнал на поиск (лечение, удаление) результата нет (может что не так делал).Потом получилось вручную загнать в карантин киса проблема перестала появляться.
Правила выполнили неправильно. Нужны три лога, как это сделали другие. Отсчет идет в любом браузере?
Ссылка на комментарий
Поделиться на другие сайты
bugor Новичок

bugor

Опубликовано
Опубликовано
Правила выполнили неправильно. Нужны три лога, как это сделали другие. Отсчет идет в любом браузере?

Да в IE и MyIE2. Логи могу сделать если это не поздно после моих манипуляций.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Да в IE и MyIE2. Логи могу сделать если это не поздно после моих манипуляций.
Другие браузеры - это Opera, Firefox и т.д. А не те, что на базе IE. Логи делайте обязательно. Но правильно
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Sergey114546456
      HEUR:Trojan.Multi.GenBadur.gena в System Memory
      От Sergey114546456
      Здравствуйте! Каспер нашел вирус HEUR:Trojan.Multi.GenBadur.gena в системной памяти, что это за вирус вообще такой и что он может сделать в системе?
       
       
    • Добрячок
      [РЕШЕНО] Троян HEUR:Trojan.Multi.GenBadur.genw в System Memory после удаления всегда появляется снова
      От Добрячок
      CollectionLog-2024.12.12-21.47.zip Где то видимо поймал этот троян и давно его удалил и вот он всплыл опять. Пытался удалять уже раза 4, а он каким то образом опять появляется на компьютере использовал KVRT и AutoLogger Заранее Спасибо!
    • sakuuna
      System Fan 90b на ноутбуке
      От sakuuna
      Короче раньше такой ошибки не выходило, но он нагревался и бывало даже перегревался. Сейчас же выдает эту ошибку при запуске и соотвесвтенно быстро наргревается, но зависит от того, как его нагрузить. Ноутбук старенький:

      HP - модель e011sr
      Процессор    AMD A8-4500M APU with Radeon(tm) HD Graphics      1.90 GHz
      Оперативная память    6,00 ГБ (доступно: 5,19 ГБ)
      Тип системы    64-разрядная операционная система, процессор x64
      Видеоадаптеры: AMD Radeon HD 7640G и HD 8670M

       Скачал lObit ACS PRO MonitorPort: Там тип показывает, скорость вентилятор 2700RPM, но бывало и 1700RPM при такой же нагржуенности ноутбука, CPU, GPU, и материнка, соответвенно когда играл в слабую игру такую, как гта са у меня значения в градусах поднимались до 80 и больше градусов, При 1900RPM(оборотов в минуту, если я не ошибаюсь). Соответсвенно хочу узнать в чем проблема. И если надо что-то проверить, говорите
       
    • An9ReY
      NT AUTHORITY\SYSTEM запускает мониторинг активности
      От An9ReY
      Недавно заметил что нт запускает мониторинг активности, и когда Касперский находит необработанные файлы в ходе проверки и просит что с ними делать этот нт их пропускает , как от него избавиться , на пк стоит винда 7 , смотрел через вирус тул Касперского он ничего не показал 
    • KL FC Bot
      Как исключить свой роутер из слежки через Wi-Fi Positioning System | Блог Касперского
      От KL FC Bot
      Каждый раз, когда мимо вашей точки доступа Wi-Fi проходит или проезжает человек со смартфоном и включенным GPS, примерные географические координаты роутера попадают в базы данных Apple, Google и других техногигантов. Это неотъемлемая часть системы позиционирования по Wi-Fi (WPS, Wi-fi Positioning System). И для того чтобы ваш роутер попал в эту базу данных, вам даже необязательно иметь смартфон — достаточно того, чтобы смартфоны были у ваших соседей или просто проходящих мимо.
      Благодаря WPS вы видите на экране своего смартфона точку, соответствующую вашему местоположению, спустя мгновение после запуска карты, вместо несколько минут, нужных при получении «чистокровных» GPS-данных со спутников. Смартфон проверяет, какие точки доступа Wi-Fi есть поблизости, отправляет список в Google/Apple и в ответ получает либо свои вычисленные координаты (от Google), либо список координат роутеров (от Apple), чтобы вычислить положение самостоятельно.
      Геопозиционированием этого типа могут с успехом пользоваться устройства вообще без GPS, например ноутбуки. Как выяснили исследователи MIT, Apple позволяет запрашивать координаты точек доступа без особых ограничений, поэтому можно составить свою собственную карту всех роутеров мира, а затем находить на ней интересные явления, закономерности, а иногда и следить за нужными людьми.
      В чем риски слежки за роутерами
      Хотя примерное физическое местоположение роутера не кажется особо секретной информацией, особенно для тех, кто и так живет в вашем и соседних домах, есть целый ряд случаев, когда эту информацию желательно скрыть. Вот лишь некоторые примеры:
      терминалы спутникового Интернета, например Starlink. Они раздают Интернет по Wi-Fi, и слежка за терминалом равна слежке за положением пользователя. Это особенно чувствительно, когда терминалы применяются в зонах военных конфликтов и чрезвычайных ситуаций; пользователи мобильных хотспотов для бизнеса и путешествий. Если вы считаете удобным раздавать Интернет с мобильного роутера на ноутбук и другие свои устройства, весьма вероятно, что карманный хотспот сопровождает вас во все деловые поездки. А заодно создает возможности следить за их графиком, частотой и направлениями. То же касается хотспотов, устанавливаемых в «домах на колесах» и на яхтах; люди, совершившие переезд. Нередко роутер переезжает вместе с владельцем, и тогда его новый адрес могут узнать те, кто хотя бы раз бывал по старому адресу и подключался к Wi-Fi. Хотя обычно эта ситуация невинна и не несет негативных последствий, все может быть иначе для тех, кто переехал, спасаясь от травли, домашнего насилия или других серьезных проблем.  
      Посмотреть статью полностью
×
×
  • Создать...