NT AUTHORITY\SYSTEM перегрузка

[Mari-an]

Здравствуйте у меня проблема: После перезагрузки появляется окошко с предупреждением, что комп будет перезагружен через 1 мин, вызвано это - NT AUTHORITY\SYSTEM. Чтобы избавиться от перезагрузки я ввела в командную строку shutdown -a -вроде так =).

 

Утилита от симантека не помогает.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

Пофиксить в HijackThis следующие строчки

 	
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

 

Проверить на http://www.virustotal.com (линк запостить)

C:\WINDOWS\system32\ckldrv.sys

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Обновите базы AVZ и повторите логи.

[Mari-an]

Антивирус Версия Обновление Результат

a-squared 4.0.0.101 2009.03.12 -

AhnLab-V3 5.0.0.2 2009.03.12 -

AntiVir 7.9.0.109 2009.03.12 -

Authentium 5.1.0.4 2009.03.12 -

Avast 4.8.1335.0 2009.03.12 -

AVG 8.0.0.237 2009.03.12 -

BitDefender 7.2 2009.03.12 -

CAT-QuickHeal 10.00 2009.03.12 -

ClamAV 0.94.1 2009.03.12 -

Comodo 1051 2009.03.12 -

DrWeb 4.44.0.09170 2009.03.12 -

eSafe 7.0.17.0 2009.03.12 -

eTrust-Vet 31.6.6388 2009.03.09 -

F-Prot 4.4.4.56 2009.03.12 -

F-Secure 8.0.14470.0 2009.03.12 -

Fortinet 3.117.0.0 2009.03.12 -

GData 19 2009.03.12 -

Ikarus T3.1.1.45.0 2009.03.12 -

K7AntiVirus 7.10.668 2009.03.12 -

Kaspersky 7.0.0.125 2009.03.12 -

McAfee 5551 2009.03.12 -

McAfee+Artemis 5551 2009.03.12 -

Microsoft 1.4405 2009.03.12 -

NOD32 3931 2009.03.12 -

Norman 6.00.06 2009.03.12 -

nProtect 2009.1.8.0 2009.03.12 -

Panda 10.0.0.10 2009.03.12 -

PCTools 4.4.2.0 2009.03.12 -

Prevx1 V2 2009.03.12 -

Rising 21.20.32.00 2009.03.12 -

SecureWeb-Gateway 6.7.6 2009.03.12 -

Sophos 4.39.0 2009.03.12 -

Sunbelt 3.2.1858.2 2009.03.12 -

Symantec 1.4.4.12 2009.03.12 -

TheHacker 6.3.3.0.280 2009.03.12 -

TrendMicro 8.700.0.1004 2009.03.12 -

VBA32 3.12.10.1 2009.03.12 -

ViRobot 2009.3.12.1647 2009.03.12 -

VirusBuster 4.5.11.0 2009.03.12 -

Дополнительная информация

File size: 24608 bytes

MD5...: 38ad4704b2364e0264edfbc28964b2eb

SHA1..: dee08f94e69385f22f40b65824e7aad78323343c

SHA256: c52676788e1198c77bb18343951d46b78fa8f97f903b3f09d2b4e5f582b07b18

SHA512: bc74a4e7ba58022bd83c3a96a798a52d453cf86f96ed61b06c236fcb822d5c26

43c8d6d3ebd5bb667848c60800ea5f58bd62e1ee4fcb828afbeda2ce31ac5c6f

ssdeep: 768:tWKXO/T8K4czrAThWjjDeZA9vvceZpYtQVz:tN6T4GXnz

 

PEiD..: -

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x3220

timedatestamp.....: 0x3899eab7 (Thu Feb 03 20:53:11 2000)

machinetype.......: 0x14c (I386)

 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x240 0x1ec0 0x1ec0 6.31 52eed19c4275bda5426e953f47c9269d

.data 0x2100 0xd54 0xd60 4.78 bd3dfc49206107537c185e250c9549a7

.idata 0x2e60 0x3ba 0x3c0 5.03 cff8bf6964c36857b9e7fb406b219e61

INIT 0x3220 0x1f5 0x200 5.54 570730ee2d3214c93f75571a430041a9

.reloc 0x3420 0x272 0x280 5.90 47c07e6d15406d3accf237aee488e9c8

 

( 1 imports )

> ntoskrnl.exe: ExFreePool, ZwClose, ObReferenceObjectByHandle, PsCreateSystemThread, KeInitializeSemaphore, ExAllocatePoolWithQuotaTag, IoCreateSymbolicLink, RtlInitUnicodeString, IoCreateDevice, IoDeleteDevice, IoDeleteSymbolicLink, ObfDereferenceObject, KeWaitForSingleObject, IofCompleteRequest, KeSetPriorityThread, KeGetCurrentThread, KeReleaseSemaphore, ExAllocatePoolWithTag, RtlTimeToTimeFields, KeQuerySystemTime, strchr, ExSystemTimeToLocalTime, ZwReadFile, _stricmp, ZwWriteFile, ZwQueryInformationFile, ZwCreateFile, ZwSetInformationFile, RtlQueryRegistryValues, RtlWriteRegistryValue, RtlUnwind

 

 

 

Пофиксить в HijackThis следующие строчки

К своему стыду незнаю, что такое пофиксить, то сделала остальное. Сейчас не выдало ошибки этой =).

Надеюсь помогло =)Спасибо!

У меня еще проблема была, при переходе через поисковитк на нужные страницы, переходило иногда на какую-то фигню =). Не то, что требовалось и адрес всегда одинаковый zlo-x .. что-то там. Как думаете это из-за того же?

 

Кстати Касперский это вирус, который вы я надеюсь помогли мне победить не видел. раз 5 проверяла..

[sergio342]

К своему стыду незнаю, что такое пофиксить,

http://forum.kasperskyclub.ru/index.php?showtopic=7607

[Mari-an]

Спасибо. Только почему-то нашлась лишь вторая строка.

[sergio342]

Не за что. Значит АВЗ подчистил.

[ТроПа]

Вы бы повторили логи АВЗ

Обновите базы AVZ и повторите логи.

Изменено 13 марта, 2009 пользователем wise-wistful

[Apollon]

если так обновлятся незахочет то вот скрипт

begin
SetAVZGuardStatus(true);
ExecuteAVUpdate;
RebootWindows(true);
end.

машина перезагрузится - и можете снимать спокойно логи

[Dole]

У меня абсолютно те же симптомы, сразу же после загрузки сообщение от NT authority о перезагрузке, но предложенные в этом топе меры не подходят. Логи прилагаю

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Skeme]

всем привет!

сегодня столкнулся тоже с такой же проблемой..

но из всех предложеных вариантов ни один не помог..

может с вирусои за 5 лет изменения произошли)))

[Jen94]

Skeme, выполните правила...

[bugor]

Тоже такую заразу подцепил кис увидел но ничего сделать не смог.Отсчет на перезагрузку начинался при открытии браузера. Аvz базы обновил и прогнал на поиск (лечение, удаление) результата нет (может что не так делал).Потом получилось вручную загнать в карантин киса проблема перестала появляться.

avz_log1.txt

[thyrex]

Тоже такую заразу подцепил кис увидел но ничего сделать не смог.Отсчет на перезагрузку начинался при открытии браузера. Аvz базы обновил и прогнал на поиск (лечение, удаление) результата нет (может что не так делал).Потом получилось вручную загнать в карантин киса проблема перестала появляться.

Правила выполнили неправильно. Нужны три лога, как это сделали другие. Отсчет идет в любом браузере?

[bugor]

Правила выполнили неправильно. Нужны три лога, как это сделали другие. Отсчет идет в любом браузере?

Да в IE и MyIE2. Логи могу сделать если это не поздно после моих манипуляций.

[thyrex]

Да в IE и MyIE2. Логи могу сделать если это не поздно после моих манипуляций.

Другие браузеры - это Opera, Firefox и т.д. А не те, что на базе IE. Логи делайте обязательно. Но правильно