Показать полную графическую версию : nt authority system services.exe
Доброе время суток.
Столкнулся с такой проблемой, при запуске системы выводит сообщение об ошибке и через минуту перезагрузка, что бы этого не происходило установил к службе (читал где то на форуме) не перезапуск системы при аварийном завершении службы а перезапуск службы, это хотя бы дало возможность работать за компом.
Не пускает на сайты антивирусников и теперь когда поставил перезапуск службы приходиться запускать процесс explorer руками, сам он не запускается.
Вот логи AVZ и HijackThis:
-Lis-, давайте сначала пофиксим в HJT строчку
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\OuXyUaC.exe,\\?\globalr oot\systemroot\system32\7Nc7L53.exe,\\?\globalroot\systemroot\system32\LyTyYBF.exe,\\?\globalroot\sy stemroot\system32\dbe7Yts.exe,
и выполним такой скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\\?\globalroot\systemroot\system32\LyTyYBF.exe');
DeleteFile('\\?\globalroot\systemroot\system32\OuXyUaC.exe');
DeleteFile('\\?\globalroot\systemroot\system32\dbe7Yts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После перезагрузки обновите базы AVZ и повторите все логи
HijackThis фиксить не хочет, но скрипт помог, первый раз винда запустилась без моей помощи
Подскажите чего делать дольше чтобы окончательно избавиться от этого?
После перезагрузки обновите базы AVZ и повторите все логи »
AVZ обновился)))), до этого не мог, щас сделаю новые логи и выложу их.
Вот новые логи, и HijackThis профиксил)))
Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/forum/downloads.php?do=file&id=4&act=down). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Скачайте OTM by OldTimer (http://virusnet.info/forum/downloads.php?do=file&id=21&act=down) и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
C:\WINDOWS\system32\6Vg3gdX.exe
C:\WINDOWS\system32\gbuB5lt.exe
C:\WINDOWS\system32\eqFh9vz.exe
C:\WINDOWS\system32\SASy8VH.exe
C:\WINDOWS\system32\2nFjOat.exe
C:\WINDOWS\system32\c3b80fV.exe
C:\WINDOWS\system32\zB0blTb.exe
C:\WINDOWS\system32\RmF2lZR.exe
C:\WINDOWS\system32\KbIt2YP.exe
C:\WINDOWS\system32\HRJ9iC7.exe
C:\WINDOWS\system32\WLKGN2K.exe
C:\WINDOWS\system32\e6nDWO1.exe
C:\WINDOWS\system32\trLmu0s.exe
C:\WINDOWS\system32\iyBmDll.exe
C:\WINDOWS\system32\THFNpzO.exe
C:\WINDOWS\system32\gI9Pkig.exe
C:\WINDOWS\system32\DdUDRvN.exe
C:\WINDOWS\system32\CjNScNn.exe
C:\WINDOWS\system32\Cwxkl1S.exe
C:\WINDOWS\system32\8slKSX6.exe
C:\WINDOWS\system32\rID3h7Z.exe
C:\WINDOWS\system32\Iy3W85Q.exe
C:\WINDOWS\system32\ZtgBq0m.exe
C:\WINDOWS\system32\f1EJQPj.exe
C:\WINDOWS\system32\6D73xu9.exe
C:\WINDOWS\system32\46jIE01.exe
C:\WINDOWS\system32\hFbocSI.exe
C:\WINDOWS\system32\mwsl39v.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\KwoShpA.exe
C:\WINDOWS\system32\nbMVcfz.exe
C:\WINDOWS\system32\kyOZrpg.exe
C:\WINDOWS\system32\iRaR5Kh.exe
C:\WINDOWS\system32\6CWzlWB.exe
C:\WINDOWS\system32\ut7VEX0.exe
C:\WINDOWS\system32\c49Fp8m.exe
C:\WINDOWS\system32\4j5wdrg.exe
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), заархивируйте и прикрепите к следующему сообщению.
Чего делать далее?)))
А то как то не хочется, чтобы что нибудь осталось в системе)))
Не торопите события. Надо же было все зверье собрать :)
В сообщении над Вашим рецепт
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\6Vg3gdX.exe moved successfully.
C:\WINDOWS\system32\gbuB5lt.exe moved successfully.
C:\WINDOWS\system32\eqFh9vz.exe moved successfully.
C:\WINDOWS\system32\SASy8VH.exe moved successfully.
C:\WINDOWS\system32\2nFjOat.exe moved successfully.
C:\WINDOWS\system32\c3b80fV.exe moved successfully.
C:\WINDOWS\system32\zB0blTb.exe moved successfully.
C:\WINDOWS\system32\RmF2lZR.exe moved successfully.
C:\WINDOWS\system32\KbIt2YP.exe moved successfully.
C:\WINDOWS\system32\HRJ9iC7.exe moved successfully.
C:\WINDOWS\system32\WLKGN2K.exe moved successfully.
C:\WINDOWS\system32\e6nDWO1.exe moved successfully.
C:\WINDOWS\system32\trLmu0s.exe moved successfully.
C:\WINDOWS\system32\iyBmDll.exe moved successfully.
C:\WINDOWS\system32\THFNpzO.exe moved successfully.
C:\WINDOWS\system32\gI9Pkig.exe moved successfully.
C:\WINDOWS\system32\DdUDRvN.exe moved successfully.
C:\WINDOWS\system32\CjNScNn.exe moved successfully.
C:\WINDOWS\system32\Cwxkl1S.exe moved successfully.
C:\WINDOWS\system32\8slKSX6.exe moved successfully.
C:\WINDOWS\system32\rID3h7Z.exe moved successfully.
C:\WINDOWS\system32\Iy3W85Q.exe moved successfully.
C:\WINDOWS\system32\ZtgBq0m.exe moved successfully.
C:\WINDOWS\system32\f1EJQPj.exe moved successfully.
C:\WINDOWS\system32\6D73xu9.exe moved successfully.
C:\WINDOWS\system32\46jIE01.exe moved successfully.
C:\WINDOWS\system32\hFbocSI.exe moved successfully.
C:\WINDOWS\system32\mwsl39v.exe moved successfully.
C:\Program Files\Common Files\keylog.txt moved successfully.
C:\WINDOWS\system32\KwoShpA.exe moved successfully.
C:\WINDOWS\system32\nbMVcfz.exe moved successfully.
C:\WINDOWS\system32\kyOZrpg.exe moved successfully.
C:\WINDOWS\system32\iRaR5Kh.exe moved successfully.
C:\WINDOWS\system32\6CWzlWB.exe moved successfully.
C:\WINDOWS\system32\ut7VEX0.exe moved successfully.
C:\WINDOWS\system32\c49Fp8m.exe moved successfully.
C:\WINDOWS\system32\4j5wdrg.exe moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
[EMPTYTEMP]
User: Admin
->Temp folder emptied: 1020111595 bytes
->Temporary Internet Files folder emptied: 71780483 bytes
->Java cache emptied: 1935 bytes
->Flash cache emptied: 16069 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 2556916 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2340499 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4488414 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 467858 bytes
RecycleBin emptied: 1134350 bytes
Total Files Cleaned = 1*052,00 mb
OTM by OldTimer - Version 3.1.12.0 log created on 06292010_114427
Files moved on Reboot...
Registry entries deleted on Reboot...
Запакуйте папку C:\_OTM\MovedFiles с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
Новые логи RSIT сделайте
Только вот сам он не перезагружался, вылезло сообщение, чтобы удалить перезагрузитесь, нажал "ок", он повисел мин 5, потом я закрыл OTM by OldTimer, нажав exit, после чего ребутнул комп
Перестаньте замусоривать тему сообщениями.
Указания над Вашим постом
-Lis-, закончите лечение, обновите антивирус:
AV: Антивирусная система Eset NOD32 2.70 (outdated)
Совсем уже рудимент
Ну по другому не могу, Kerio WinRoute Firewall 6.5.* не работает с более поздней версией нода
Карантин отправили?
Выполните скрипт в AVZ
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end. Компьютер перезагрузится.
Если проблем больше нет, выписываем
-Lis-, тогда установите защиту по максимуму, обязательно включите защиту от потенциально нежелательных программ
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.