Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   nt authority system на win 2003 (http://forum.oszone.net/showthread.php?t=181797)

diman_az 30-07-2010 14:30 1463552
nt authority system на win 2003
 
Вложений: 1
Помогите вылечить сервак Windows 2003 server Enterprise Edition, при загрузке выдает: Сбой по крайней мере в одной службе или драйвере при запуске системы проверьте журналы событий в окне просмотра событий,
нажимаешь ок и сразу выскакивает табличка
Система завершает работу. Сохраните данные и выйдите из системы. Все не сохранённые изменения будут потеряны. Отключение системы вызвано nt authority\system
Время отключения 00:00:40

Сообщение:
Неожиданно завершен системный процесс
C/windows/system32/services.exe с кодомсостояния 1073741819.
Будем произведена перезагрузка системы.
Запускается только в безопасном режиме.
Сканировал dr. web и AVZ 4 ни чего не найдено.
help)

вот логи

Petya V4sechkin 31-07-2010 11:48 1464004
diman_az, AVZ -> меню Файл -> Выполнить скрипт -> выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку Запустить. На время выполнения скрипта отключите антивирус.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\drwuninst.exe','');
 QuarantineFile('C:\WINDOWS\system32\tlumta.exe','');
 QuarantineFile('C:\WINDOWS\system32\c96e1afe.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\xeahot.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\keiode.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\Documents and Settings\Администратор\keiode.exe');
 DeleteFile('C:\Documents and Settings\Администратор\xeahot.exe');
 DeleteFile('C:\WINDOWS\system32\c96e1afe.exe');
 DeleteFile('C:\WINDOWS\system32\tlumta.exe');
 DeleteFile('C:\WINDOWS\TEMP\drwuninst.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 BackupRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'Backup');
 DeleteService('bbsdpbqen');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить еще скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте мне в PM.
Сделайте новые логи версией 4.34 и обновить базы - (virusinfo_syscheck.zip, hijackthis.zip из п. 3.4, 3.5 правил).

P. S. Учтите, что команда ExecuteRepair(20) удалит статические маршруты (если у вас там что-то нужное, сохраните).

P. P. S. Надеюсь, хелперы подключатся (если я чего-то не заметил в логах).

Drongo 31-07-2010 16:23 1464140
Сделайте дополнительно лог gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

diman_az 31-07-2010 18:11 1464175
Вложений: 3
все данные

Drongo 31-07-2010 19:30 1464210
Цитата:
Цитата Petya V4sechkin
Сделайте новые логи версией 4.34 »
и лог gmer


Время: 07:56.

Время: 07:56.
© OSzone.net 2001-