NT AUTHORITY SYSTEM.
9 марта, 2009 | 
Автор: Речь пойдет о вирусе, вернее даже не о нем, а о способах борьбы с ним. Отличительной особенностью этого вируса является то, что он выдает сообщение «Система завершает работу. Сохраните данные и выйдите из системы. Отключение системы вызвано NT AUTHORITY\SYSTEM. Система будет перезагружена через 1 минуту» После чего начинается обратный отсчет и система действительно перезагружается через минуту. Подобное сообщение возникает либо сразу после входа в систему, либо после входа в Интернет. Иногда этот счетчик зависает и система не перезагружается, но при этом Windows тупит по-страшному и некоторые приложения не запускаются.
Антивирусы этого гада не видят, решил бороться ручками. Винду переустанавливать не хотелось – полез по инету. В принципе, вариант решения нашелся один – скачать специально заточенную под этот вирус утилиту от лаборатории Касперского. Скачал, запустил – не помогло. Пришлось самому мозгами шевелить. Оказалось, что этот вирус заблокировал редактор реестра и диспетчер задач. Сразу возникла мысль воспользоваться утилитой AVZ (как оказалось, мысль светлая).
Собственно, порядок борьбы таков – запускаем AVZ (если нет таковой – качаем и всегда носим с собой), затем Сервис -> Диспетчер процессов. Здесь обращаем внимание на строки, не помеченные зеленым цветом, если это не наши процессы – завершаем их, предварительно запомнив путь к запускаемым файлам. Далее удаляем файлы ручками через Проводник или меняем расширение, если сомневаемся. Ну а после восстанавливаем доступ к реестру и Диспетчеру Задач – AVZ -> Файл -> Восстановление системы. Выбираем «Разблокировку редактора реестра» и «Разблокировку диспетчера задач», ну и еще пару-тройку пунктов за компанию, если заметили неладное.
В моем случае счетчик зависал и я спокойно мог копаться в AVZ, правда с бооольшущими глюками. Если у вас счетчик не зависнет, то придется тренировать реакцию и скорость кликанья. Ну а виной всему оказался процесс userinit.exe, в папке C:\Windows\System32 (может и у вас он в виноватых окажется). В сотый раз убедился в том, что сисадмин – работа творческая.
Поделиться в соц. сетях
Рубрика: 
Метки: 
Loading ...
так Ребятки Ставим дружно сканеры Dr.Web
и сканер Remove Tools от касперского,заходим в безопасный режим и проверяемся сначала чрз каспера,потом чрз веба,если не поможет,пробуем другие анти вирусы AVG,Avira,Nod,Spyware Doctor,Avz,Ad-ware
токо не ставьте один за другим))
Сканировать лучше всего в безопасном режиме тогда шанс лечения выше.
И еще при сканировании Авастом или Касперским следите что он находит)может систему повредить
http://nemcd.com/2009/01/virus-net-wormwin32kido-kido-vnimanie/
Заплатка для тех у кого кидо
svchost.exe -если он не заражен это системный процесс для служб, загружаемых из динамических библиотек.
http://www.filecheck.ru/process/svchost.exe.html
Почитай много чего интересного узнаешь)
Или вот эти программы)
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Spyware Doctor определяет и удаляет бездействующие программы-шпионы, рекламу, трояны, кейлоггеры, вредоностные и следящие программы с вашего диска. Идеальное дополнение к Security Task Manager.
Насчет оперы,попробуй мозилу,
а с ихплоером я знаю что)
Это вирус Друг мой
Залезь во все настройки ихплоера и убери прокси
Насчет тормозов читаем выше проверяем себя на наличие сотен вирусов и качаем программы для отслеживания действующих процессов.
Есть еще 1 причина,
смотрим пуск-программы-автозагрузка(убираем оттуда все ненужно delete)
смотрим какие программы у нас загружаются сами,вручную убираем галочки,чистим временные файлы,оптимизируем регистр,удаляем из регистра не нужные записи(допустим тех програм которых давно нет)
2 причина стоит 2-3 и больше антивирусов на компе)
я так скажу,говорить что сразу оба антивируса совместимы нельзя,Nod avast и доктор принципе вместе дружат,но только если у вас комп хороший)
Все критические процессы можно снять в безопасном режиме,а также вылечить и удалить)
Что делать в такой ситуации: в файле hosts появляется всё время такие строки:
127.0.0.1 vkontakte.ru
127.0.0.1 http://www.vkontakte.ru
127.0.0.1 vk.com
127.0.0.1 http://www.vk.com
Антивирус их видет, удаляет или я сама вручную удаляю, но после удаления "ВКонтакте" перестаёт работать, пишет:
Предупреждение — Страница из вашей закрытой локальной сети запрашивает данные с вашего ком-ра. По соображениям безопасности автоматический доступ блокирован, но вы можете его разрешить.
Далее требуется нажать на "Продолжить" либо на "Всегда продолжать при запросе данных с моего ком-ра", но при нажатии ничего не происходит…Только после перезагрузки ком-ра я могу выйти в сеть "ВКонтакте", но и вирус в файле hosts тоже восстанавливается. Антивирус DrWeb его удаляет, но далее всё повторяется.
Что делать?
Помогите пожалуста!!!!!!!!!!Пытылась справиться с проблемой NT AUTHORITY. Скачала AVZ нашла 6 процессов svchost.exe завершила их нашла в папке windows\sistem32 этот файл, сначала переименовала, но тут же появляется новый svchost.exe,переименовываю его появляется новый и т.д. короче я их все удалила, восстановиласистему как вы писали в самом начале, а после перезагрузки компа ему настал каюк!!!!!!!!!!!!!! Ни интернет, ни widows media player,даже мой компьютер не открывается. На вас одна надежда, подскажите хоть что-нибудь!!!!!!!!!!!!
спасибо)) кажется помогло))) ура))
та же бодяга с этим нт ауторити. Стоит нод и когда всплывает окошко отключения через минуту, включаю сканирование и окошко через минуту гаснет а комп продолжает работу. А дальше надо делать как здесь советуют.
везет вам. у меня вообще AVZ не запускается(
запустил avz только в безопасном режиме на висте, проделал описанный действия : помогло.
Большое Спасибо за помощь )))
Спасибо!!!Реально помогло!!!)))
Как мне быть, у Меня, если не закрать svchost.exe в диспетчере то мне avz никак не открыть!!? коммандной строки нет пишет что cmd.exe не найден(((( ПОМОГИТЕ
Здравствуйте а что значит когда avz выдает такое сообщение перехватчик kernel mode подозрение на rootkit?
а у миня такая трабла, похожая на ту что в заголовке, но чуть другая…скачал прагму, установил, комп ребутнул и тут начались пляски с бубном…нод умер, то есть ядро висит в процессах, но жрет проц а графическая оболочка на грани вЫмирания, причем там не отображается фаервол, нет сети, вЫлетает окно NT AUTHORITY SYSTEM, звук при запуске системЫ на минимуме, то есть его или нет или он вЫключен, что странно, если это вирус — работает панель управления, кривовато, но работает, не могу только собЫтия журнала посмотреть, и все иконки стали ярлЫками, работает диспечер задач, работает редактор реестра, нижняя панель криво работает, нет бЫстрого запуска, если его включать, панель отключает себя, как бЫ прячется, файл, котрЫй вЫ в шапке указали присутствует в системной папке, я его оттуда вЫносил, ничего не менялось…я даже не могу понять — то ли это прагма грохает систему, причем второй раз так, то ли там вшит вирус…
Здравствуйте! У меня така же проблема — сразу после загрузки появляется окно с отсчетом времени. Отсчет останавливаю командой shutdown -a, затем кое-как удалось запланировать проверку аваст, которая делается во время загрузки. Ничего не нашлось.
На этом же компе есть еще одна винда. Из под нее проверял комп с помощью Касперского и Dr. Web — ни один из них ничего не нашел.
Затем попробовал описанный вами способ, все сделал, как вы советуете. В списке процессов был только один, не отмеченный зеленым — C:\Program files\idt\wdm\stacsv.exe. Процесс остановил, файл удалил, далее следовал вашим рекомендациям. После следующей загрузки компа окно с отсчетом времени снова появилось, на этот раз все процессы в AVZ были помечены зеленым… Можно ли сделать что-то еще?
Заранее спасибо.
В общем поймал я етого зверя на работе.
День нафик, сис-админ в отказе.Жопа.
По существу, после дня мучений ,анализа
форума алгоритм действий. Грузимся в в безопасном режиме с поддержкой коммандной строки.Логинимся.СРАЗУ CTRL+ALT+DEL.Диспечер задач,процессы, усё мы первые.Далее в диспечере задач — приложения- новая задача набираем shutdown -a, далее назад в процессы закрываем все svchost, если выскакивает табличка о перезагрузке то
приложение новая -задача -shutdown -a.
после закрывания svchost в приложениях набираем explorer о чудо имеем доступ к диску запускаем AVZ файл стандартные скрипты пункт номер 3. Перезагружаемся. Дальше сами.
Спасибо) Очень помогло! Правда сначала я удалил userinit.exe но оно не помогло. Потом пропала панель задач, но после 5 раза прогона утилитой AVZ все наладилось)
Если AVZ не запускается, попробуйте переименовать файл avz.exe в другой, например, вася.exe и запускайте его. Ну или, как народ советует, в безопасном режиме, если загрузитесь.
Вчера ночью подцепил эту дрянь! На компе стоит avast!!! При зацепе червя не увидел, брэндмауэр WINDOUS не отреагировал!Antivir Task Manager единственный кто спросил о новой программе и «попросил разрешения». Я как «хороший» чайник, а это действительно так — естественно ему разрешил пропустить — пусть гуляет. Это просто безграмотно, но на ошибках учатся! Двое суток я боролся с ним как мог, и я его победил! Излазив кучу сайтов через телефон, узнав что это за баннер, исковыряв весь реестр, я понял, что сам не справлюсь — написал знакомому, он малый с опытом. Снести ОС — был жесткий и жестокий вердикт!!! А мне было жаль всего накопленного и я продолжил борьбу!
Первым делом я запустил AVAST и он нашел 6 зараженных файлов в win32 вот они — Malware-gen (2 шт) ; Adware-gen ; Fakeinst-T [trj](2 шт) ;Troyan-gen.
после этого я снес все последние установочники и архивы, вместе с Reg Organizir & Antivir Task Manager. После этого откатил систему на месяц назад, далее перезагрузка и … О-ЧУДО комп ожил!!!Ура — ура- ура!!!я справился с этой чумой!!! Но… Если бы кто-то из ребят не подсказал успеть перевести часы и дату — я откатил на год назад!!! Я мог целый год спокойно сидеть и ковыряться с этим врагом!
Единственный момент нельзя выключать комп и нельзя перезагружать! таймер восстанавливается на 60 сек. Отключать сетевой кабель бесполезно — червь активируется при какой-нибудь основной программе.
При обработке этой сволочи блокируется весь выход в инет включая локалку.Но это и хорошо для него нет поддержки!
Так что я благодарен всем кто публиковал материал по этому вопросу и особенно тому кто писал про перевод часов!
С уважением ко всем Алексей!