[решено] NT Authority System services.exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] NT Authority System services.exe (http://forum.oszone.net/showthread.php?t=179404)

NT Authority System services.exe

Тема для вас уже заезженная наверное, помогите может и мне?)
Вырубается комп после включения программы "GameGuard".
Логи прикрепил.
Еще не заходит на некоторые сайты антивирусов:
AVZ, eset'a, Avast'a! может еще какие-то...^^

Добрый день!

Пофиксить в HijackThis следующие строчки:

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\gtpmuhj.exe,\\?\globalroot\systemroot\system32\inrHlYg.exe,\\?\globalroot\systemroot\system32\h7bnW1c.exe,

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

ExecuteAVUpdate;

 QuarantineFile('\\?\globalroot\systemroot\system32\h7bnw1c.exe','');

 QuarantineFile('\\?\globalroot\systemroot\system32\inrhlyg.exe','');

 DeleteFile('\\?\globalroot\systemroot\system32\h7bnw1c.exe');

 DeleteFile('\\?\globalroot\systemroot\system32\inrhlyg.exe');

RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

+

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Повторите логи АВЗ + HijackThis !Что с проблемами?

Также перед выполнением повторных логов AVZ обновите базы(Файл/Обновление баз/пуск).

Эм...вот сейчас идет проверка MAM'ом, интересно просто, у меня антивирь (нод) ща ловит вирусы)))
на данный момент их 132)))так и должно быть?)
Сайты уже заработали^^Сенкс)

Вот.
Ответ от Лаб. Касперского:

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

inrhlyg.exe - Packed.Win32.Katusha.o

At the moment this file is detected with the latest antivirus bases.

Best Regards, Kaspersky Lab
---------------------------------------------------

Всем спасибо, все "починилось"^^

Не спешите!Мы еще не завершили!Дайте мне немного времени!:)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

ExecuteRepair(19);

RebootWindows(true);

end.

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes

explorer.exe



:Services



:Files

C:\WINDOWS\system32\PNEBJVc.exe

C:\WINDOWS\system32\07meSf3.exe

C:\WINDOWS\system32\fWyGv18.exe

C:\WINDOWS\system32\3IKcMyq.exe

C:\WINDOWS\system32\98XTwiQ.exe

C:\WINDOWS\system32\CrUachf.exe

C:\WINDOWS\system32\hUkvI1Y.exe

C:\WINDOWS\system32\MLO798A.exe

C:\WINDOWS\system32\mxdZ9Ch.exe

C:\WINDOWS\system32\KhLKYSV.exe

C:\WINDOWS\system32\RSFA7WL.exe

C:\WINDOWS\system32\7jhltaS.exe

C:\WINDOWS\system32\4XeNWHC.exe

C:\WINDOWS\system32\b9u3Lvn.exe

C:\WINDOWS\system32\bNievqA.exe

C:\WINDOWS\system32\qXE5y0J.exe

C:\WINDOWS\system32\orFQGKg.exe

C:\WINDOWS\system32\aKQjI1y.exe

C:\WINDOWS\system32\vN7bc3J.exe

C:\WINDOWS\system32\DTF0xEZ.exe

C:\WINDOWS\system32\5Z2rScd.exe

C:\WINDOWS\system32\d9fZRlw.exe

C:\WINDOWS\system32\WVdcuT8.exe

C:\WINDOWS\system32\TvSx9Da.exe

C:\WINDOWS\system32\HnZLp8a.exe

C:\WINDOWS\system32\bP2XUto.exe

C:\WINDOWS\system32\ZqrtlU4.exe

C:\WINDOWS\system32\lkyC87o.exe

C:\WINDOWS\system32\w841Dj2.exe

 C:\WINDOWS\system32\Qqaphog.exe

C:\WINDOWS\system32\00K3val.exe





:Reg





:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи АВЗ + HijackThis+ RSIT!Что с проблемами?

У меня антивирь при проверке нашел их всех. Так что нету уже ничегошеньки^^
Спасибо^^

Повторите логи АВЗ + HijackThis+ RSIT