Неожиданно завершен системный процесс
Здравствуйте! Столкнулся с проблемой: девушка зашла на zaycev.net и щелкнула там какую-то стороннюю ссылку. После этого комп при перезагрузке загружается и после введения имени пользователя и пароля выдает: "Инструкция по адресу "0х938е2328" обратилась к памяти по адресу "0х938е2328". Память не может быть "read". "Ок" - завершение приложения; "Отмена" - отладка приложения. В любом случае (и при нажатии "Ок", и при нажатии "Отмена") система выдает табличку, в которой идет обратный отсчет времени (не более 60 сек), в которой присутствует номер: 1073741819; надпись "Неожиданно завершен системный процесс C:\Windows\system32\services.exe", а также путь NT\AUTHORITY\SYSTEm
Загрузился с загрузочной флешки и по правилам форума сделал логи (см. ниже). Что можно тут сделать?
|
Логи, сделанные с LiveCD, бесполезны.
Когда появися отсчет времени, проделайте следующее:
Пуск - Выполнить
Введите shutdown -a, нажмите ОК. Это должно остановить перезагрузку
Выполняйте сбор логов
|
Ничего не получится. Кнопка "Пуск" недоступна. Табличка, которая возникает, как при принудительной перезагрузке ОС и кроме нее на экране ничего нет и сделать невозможно :(
|
В безопасном режиме та же картина?
|
Смог загрузиться в нормальном режиме и нажатием "Ctrl + Alt + Del" прервать выполнение перезагрузки (диспетчер задач вызывается) и с помощью него (через "Файл - выполнить" запустить HijackThis и сформировать лог); или, возможно, комп просто не смог перезагрузиться и мне просто повезло :) ...
Сейчас то же делаю для AVZ - но тормоз страшный, думаю затянется... Но получилось :)
Как только сформируются логи, сразу же перепишу с "больного" компа и выложу...
|
Сделал скрипт HiJackThis, выложить пока не могу, т.к. надо загрузиться с LiveCD, а мне не хочется перезагружать так сложно загруженную систему. AVZ же не может закончить работу - виснет на "...Выполняется исследование системы...". Сама же ОС загрузилась почти полностью, за исключением тех процессов, которые завершил (какие точно, не помню, но сделал это для того, чтобы не уйти в перезагрузку). Что посоветуете предпринять?
|
Только это
Цитата:
Цитата thyrex
В безопасном режиме та же картина? »
|
|
Да. Больше того - там не "успеваю" завершить процессы и компьютер в любом случае перезагружается... а сейчас монитор "заснул" и я его "пробудить" не могу...
|
Без логов, сделанных на проблемной системе, помочь трудно. Лечащие LiveCD пробовали?
|
Получилось сделать логи с "больной" системы: при загрузке, при появлении сообщения "Неожиданно завершен системный процесс C:\Windows\system32\services.exe , не нажимая ни "ОК - завершение приложения", ни "ОТМЕНА - отладка приложения" вызвал диспетчер задач, далее запустил AVZ и сформировал логи. Логи HijackThis были сформированы ранее. Все их прилагаю :-)
|
выполните след. скрипт в AVZ
Код:
begin SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
QuarantineFile('C:\Documents and Settings\Ира.466B8FCCC8A841B\Рабочий стол\игры\Alawar\Alawar_Wrapper_Protected_Games_UniCrack_v0_5_by_Mysterio.exe','');
QuarantineFile('C:\PROGRA~1\SOLO9R~1\SoloRes.dll','');
QuarantineFile('C:\WINDOWS\system32\rcltek.exe','');
QuarantineFile('C:\WINDOWS\system32\21363708.exe','');
DeleteFile('C:\WINDOWS\system32\21363708.exe');
DeleteFile('C:\WINDOWS\system32\rcltek.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(20);
RebootWindows(true);
end.
комп. перезагрузится, выполнить еще один скрипт
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
полученный в результате карантин отправить по адресу newvirus@kaspersky.com результат выложить в следующем посте
повторите логи |
А также
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ( RSIT) в корне системного диска. |
Комп нормально загрузился. Логи AVZ сделал, log.txt и info.txt тоже вложил (см. вложенные файлы), quarantine.zip на указанный адрес выслал. Результат об отправке выложу позже. Не сочтите за флуд: 1. Что это было (как называется)? 2. Как от него уберечь комп (что читать, что знать, что применить)?
|
активного заражения не вижу, хочу предложить вам отключить автозапуск для этого выполнить следующий скрипт
Код:
Begin RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '223'); end.
Цитата:
Цитата Razey
Что это было (как называется) »
|
заражение автораном (более грамотные хелперы пусть меня поправят)
Цитата:
Цитата Razey
2. Как от него уберечь комп (что читать, что знать, что применить)? »
|
я уже предложил вам отключить автозапуск, так же предлагаю регулярно проверять систему cureit или онлайнсканер касперского , ну и конечно же обновления!! не только системы но и браузеров и продуктов Adobe ваши: месенджеры, квиктайм, java
http://www.freedrweb.com/cureit/
http://www.kaspersky.ru/virusscanner |
простите исправленный скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
|
Скрипт выполнил. Спасибо :-) . Скрипт для отключения автозапуска тоже выполнил. Пришел ответ от автоматической системы приема писем (прикрепляю, файл otvet_kaspersky.txt). Также возник вот какой вопрос: на одном из форумом (возможно, даже и на oszon'e) увидел скрипт реестра (отмена автозапуска, его ссылание на ветвь в реестре, т.н. "перенаправляемый" автозапуск, который в любом случае будет считываться из реестра, а не с флешки или диска (прилагаю, файл autorun.rar)). Выполнил его на свой страх и риск, не особенно вникая в особенности его работы. Могло ли это стать одной из причин заражения?
|
Цитата:
Цитата Razey
Могло ли это стать одной из причин заражения? »
|
нет, данный файл вы сможете открыть с помощью блокнота и увидеть содержимое.
Цитата:
Цитата Razey
Выполнил его на свой страх и риск, не особенно вникая в особенности его работы »
|
не советую!! выполнять какие либо файлы, особенно работа с реестром!!!!! систему зарубите на раз. если вы не уверены в том что он делает то что вам нужно. |
Цитата:
Цитата Razey
Выполнил его на свой страх и риск, не особенно вникая в особенности его работы. Могло ли это стать одной из причин заражения? »
|
Нет, это некая заглушка против вирусов-авторан.
Если хочется максимально защитить себя от авторанов, могу порекомендовать это средство - NoMoreAutorun - утилита для отключения автозапуска. в скрипте присутствует настройка, которая есть в вашем файле reg. |
Время: 19:41.
© OSzone.net 2001-
