Вирусы приводящие к самопроизвольной перезагрузки компьютера и методы борьбы с ними.

[Nick]

Такая проблема. После установки на компьютер Panda Titanium Antivirus 2005, перезагрузки и запуска резидентной защиты антивируса система выдает сообщение типа "компьютер будет перезагружен через минуту, перезагрузка была вызвана NT AUTHORITY\SYSTEM. Причина - неожиданное завершение службы lsass.exe с кодом таким-то" shutdown -a помогает, но после этого половина система работает коряво. Перезапуск lsass.exe тоже ничего, естественно, не дает ибо зависящие от него службы уже убиты. Если Панду удалить, то все начинает работать нормально. По всем признакам это либо blaster, либо sasser, однако утилиты от Symantec ничего не находят. Есть идеи как что это такое и как лечится?

[Rackot]

Nick вся тема посвящена этому, читай сначала. Или по ссылкам в шапке темы.

[KaZu0]

уже 5 лет прошло а вирус досих пор не уничтожили.
я не силён в компйютерах и с вирусом не справился пожалуйста помогите.
проверил реестр в HKY_Current_Machine/softrware/microsoft/windows/run или как там.. неважно здесь нечего не нашол.
все апгрэйды\патчи здесь, безполезны так как у меня service pack новея..
в window папки\файла msblast.exe нету.. в пойске тоже нечего не нашол.
каждый раз когда включаю комп выходит окошко с перезагрузкой.. и 60тю секундами.
сейчас сежу в "Safe Mode"-е.. думаю что делать.
а ну да когда окшоко выходит в диспечере задач\процессы поевляется msblast но отключить\завершить яя его не могу , отказ в доступе! также нашолся вирус Spools.exe в "Windows/system32/drivers/spools.exe" может подскажите как досуп получить потому как при попытке удаления отказывает в доступе..

[Rackot]

значит не все патчи стоят. смотри сначала темы там уже все сказано насчет патчей, фаерволов и антивирусов...

[KaZu0]

да не какой фаервалл не помогает мне вирус их спокойнно опходит.. а патчи мне отказываются качатся так как у меня слишком новый..
у меня стойт кроме обычного фаервалла AT Guard я попытался закрыть порты который нашол по теме на этот вирус но в пустую.
ищё странная вещь... вирус умудряется меня отключать даже если интернет отключён...

потом у меня стойт Symantec антивирус и я даже нашол FixBlast и FixSasser от симантека .. но они мне не помогли.

[Bazel]

KaZu0 скачай http://z-oleg.com/secur/avz/download.php запусти файл-стандартные скрипты-скрип сбора "помогите" после отработки в папке LOG найдешь свежесозданный зип-архив: приложи его сюда.

[sc00ter]

у меня вот на винде СП 3 проявился прикол с перезагрузкой через минуту. проверил касперским и НОДом.. ничего оба не нашли. AVZ так же ничего не нашел. вот приклеплен архив "помогите" из AVZ /
Есть какое средство от этого?
еще попутно заметил такую ерунду. в корзине постоянно имется папкак "Windows" и очищение корзины не помогает, т.е. папка опять там.

[Bazel]

свеженький засланец
файл - выполнить скрипт (комп удет на перезагрузку)
----------------
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\System32\gdimnt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-------------
после перезагрузки сделай еще раз исследование, на всякий случай.

[sc00ter]

попробовал твой скрипт.. в корзине вроде бы ничего не проявляется.. перезагрузк пока вроде сам не совершает

[Cnaugep]

Блин. Тоже видима поймал эту дрянь. вылазит ровно через час. Чем тольконе пробовал чистить. Каждый раз мимо. Вочередной раз при выходе предупреждения перевел календарь на день назад. теперь сижу пытаюсь разобраться где насранно.

Cnaugep добавил :

Нарыл некий ..\WINDOWS\system32\biosnt.dll
Висел на svchost.exe Нашел APM'ом им же отвязал длл от процесса и убил. 30 мин в эфире связь в порядке =)

[sc00ter]

в корзине опять появляется папка Windows и не удаляется оттуда при очищении..

[Bazel]

sc00ter :

Цитата (Bazel;1549851) »

после перезагрузки сделай еще раз исследование, на всякий случай.

Ыы ?
кстати я так и не поняп: комп сам перезагрузился вследствие выполнения скрипта или ты его вручную ребутил ?

[wise-wistful]

sc00ter
Обновите базы АВЗ
Отключите Восстановление системы, т.к. можно до Второго пришествия бороться с вирусами, а он будет восстанавливаться.
Выполните стандатртный скрипт 3 и выложите лог после него.

wise-wistful добавил :

Cnaugep вы тоже скачайте АВЗ, обновите базы, выполните стандартный скрипт 3 и выложите лог virusinfo_syscure.zip из папки АВЗ/LOG

[sc00ter]

восстановление отключил. базы обновил. Скрипт 3 в приложении

[wise-wistful]

В логе ничего крамольного не видно. Папка так и появляется?

[sc00ter]

нет.. теперь не появлсяется... после обновления АВЗ и составления лога папка пропала.... если не секрет почему она там появлялась?

[Донецк]

Товарищи, подскажите вот у меня выскакивает табло Ошибка NT AUTHORITY/SYSTEM и через минуту копм перезагружается, помогите решить проблемму раз и на всегда. Спасибо.

[Werter123]

Донецк
Не знаю так это или нет но дело может быть в следующем
Большинство служб в винде запускаются под именем NT AUTHORITY. Это одна из учетных системных записей. Может не правильно выразился но смысл такой. В том числе такие службы как RPC, DNS client и другие. То есть они запускаются не под именем пользователя или локальной системы. Варианты такие
1. Данная учетная запись была удалена или подменена (в результате вируса возможно)
2. Служба которая должна запускаться этой учетной записью также пришла в даун.
Одним из вариантов решений проблемы - попробовать с установочного диска Виндовс сделать восстановление системы

[Донецк]

А па проще информации нет. Программа, или что-то еще.

[Werter123]

Донецк Хочешь проще - не парься а сразу винду переустанови с форматированием системного раздела