isass.exe / services.exe

[JIOX]

У меня Windows 2000 SP4.

Только при подключенном Internet через различные промежутки времени появляется

и происходит перезагрузка.

"... Отключение системы вызвано NT AUTHORITY \ SYSTEM ...

Неожиданно завершен системный процесс "C:\WINNT\system32\lsass.exe" с кодом состояния 128. Будет произведена перезагрузка системы"

Причем вчера был lsass.exe, а сегодня уже services.exe

NOD32 ничего не обнаруживает.

Помогите, пожалуйста, решить проблему.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINNT\system32\vp6dec_settings.cpl','');QuarantineFile('cdate.exe','');QuarantineFile('C:\DOCUME~1\a\LOCALS~1\Temp\s3chipid.sys','');QuarantineFile('C:\WINNT\VTTray.exe','');DeleteFile('cdate.exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пока только карантин.

[JIOX]

Спасибо, akoK.

Всё выполнил, письмо отправил.

Процедура не помогла. Опять перезагружался :D

[Yezhishe]

Мал-мал добавлю...

Попробуй выставить в службе "Удалённый вызов процедур" (RPC) не "перезагрузку компьютера", а "перезапуск службы". Это хотя бы позволит не тратить нервы во время поиска путей решения проблемы...

[akoK]

Привествую в карантин попал только

vp6dec_settings.cpl - чист

Я еще бы хотел проверить

C:\WINNT\VTTray.exe - уж очень часто это оказывается троян.

Проведите поиск при помощи AVZ и пришлите мне.

[JIOX]

Я еще бы хотел проверить

C:\WINNT\VTTray.exe - уж очень часто это оказывается троян.

Так оно и было месяцев 5 назад. Комп зависал через 10-15 минут после загрузки. Пытался его вылечить, но безуспешно - в результате просто удалил.

Т.ч. теперь живу без VTTray.exe

[akoK]

C:\WINNT\VTTray.exe - вы живете с ним или его остатками.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('s3contrl (32-bit)', 4);DeleteFile('C:\WINNT\VTTray.exe');DeleteService('s3contrl (32-bit)');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

[JIOX]

Спасибо, akoK.

Как раз зашел на форум после очередной перезагрузки.

Скрипт выполнил. Раньше после загрузки у меня появлялось сообщение

После перезагрузки его уже нету. :)

Надеюсь, что проблема была именно в этом. Вот только непонятно почему она возникла через столько месяцев :)

[akoK]

Выполняли рекомендацию Yezhishe? Если нет выполните :)

[JIOX]

Выполняли рекомендацию Yezhishe? Если нет выполните

Выполнил.

Всем спасибо!!!

Уже сутки никаких сбоев не было. Похоже вылечился родимый :)

[Yezhishe]

Ну-у... Отсутствие перезагрузок не есть свидетельство "вылеченности". Мой совет только лишь пришибает явное последствие заражения - не более того... Так что провериться хорошенько - очень даже нужно!

[akoK]

В логах активного заражения не вижу, но как говорил Yezhishe....лучше перебтеть :D

Проверьтесь еще cureit!

[JIOX]

Проверьтесь еще cureit!

Вчера проверился - ничего не обнаружено.

Всем спасибо :bye1: