NT AUTHORITY SYSTEM.
9 марта, 2009 | 
Автор: Речь пойдет о вирусе, вернее даже не о нем, а о способах борьбы с ним. Отличительной особенностью этого вируса является то, что он выдает сообщение «Система завершает работу. Сохраните данные и выйдите из системы. Отключение системы вызвано NT AUTHORITY\SYSTEM. Система будет перезагружена через 1 минуту» После чего начинается обратный отсчет и система действительно перезагружается через минуту. Подобное сообщение возникает либо сразу после входа в систему, либо после входа в Интернет. Иногда этот счетчик зависает и система не перезагружается, но при этом Windows тупит по-страшному и некоторые приложения не запускаются.
Антивирусы этого гада не видят, решил бороться ручками. Винду переустанавливать не хотелось – полез по инету. В принципе, вариант решения нашелся один – скачать специально заточенную под этот вирус утилиту от лаборатории Касперского. Скачал, запустил – не помогло. Пришлось самому мозгами шевелить. Оказалось, что этот вирус заблокировал редактор реестра и диспетчер задач. Сразу возникла мысль воспользоваться утилитой AVZ (как оказалось, мысль светлая).
Собственно, порядок борьбы таков – запускаем AVZ (если нет таковой – качаем и всегда носим с собой), затем Сервис -> Диспетчер процессов. Здесь обращаем внимание на строки, не помеченные зеленым цветом, если это не наши процессы – завершаем их, предварительно запомнив путь к запускаемым файлам. Далее удаляем файлы ручками через Проводник или меняем расширение, если сомневаемся. Ну а после восстанавливаем доступ к реестру и Диспетчеру Задач – AVZ -> Файл -> Восстановление системы. Выбираем «Разблокировку редактора реестра» и «Разблокировку диспетчера задач», ну и еще пару-тройку пунктов за компанию, если заметили неладное.
В моем случае счетчик зависал и я спокойно мог копаться в AVZ, правда с бооольшущими глюками. Если у вас счетчик не зависнет, то придется тренировать реакцию и скорость кликанья. Ну а виной всему оказался процесс userinit.exe, в папке C:\Windows\System32 (может и у вас он в виноватых окажется). В сотый раз убедился в том, что сисадмин – работа творческая.
Поделиться в соц. сетях
Рубрика: 
Метки: 
Loading ...
Помогло! Спасибо!!! У меня тоже userinit.exe был виноват
Дружище, ты прав на все 100% Подхавтили знакомые такой же вирусняк. При загрузке это же окно и таймер на минуту. Но в безапасном режиме можно было зайти! Сканил всем чем только можно! Каспером, нодом, сумантековскими утилитами, даже майкрософтовскими. Думал это Шутер или Бластер, но все усилия были напрасны! Вконце был АВ4 поставил, отсканил и тоже пусто! Думал уже плюнуть на все и форматнуть (сделал бы так сразу, но было всё на лицензии + настройки сети сбились бы.) Но! Поствил в АВ4 тщательный осмотр! и осмотр всего компа! И только там увидел что есть подозрительный файл. И то не как вирус, а как угроза! Маскировался под svchost.exe гад! Убил! 2 дня возился. Хитрый сцук…
Да, вирусы прогрессируют. Но и сисадмины на месте не сидят
задолбала вирусня меня уже….на фирме 54 компа, 2 сервака, на неделе буду брать Каспера лицензионного, за**ло бороться руками…
Понимаю, но Каспера не советую… У меня на работе 99 компов, на всех стоит лицензионный Каспер, регулярно обновляется. В конце дня 2-3 машины выходят из строя. После сканирования их DrWeb'ом — они снова в строю.
На домашнем ноуте стоит лицензионный DrWeb. Я 3 года не переустанавливал винду, а это о чем-то и говорит. Так что, советую не спешить и взвесить все "за" и "против".
Александр! Вы хвалите доктор DrWeb,а по моему мнению (дилетанта) он отстой. У меня та же проблема: Отключение системы вызвано NT AUTHORITY\SYSTEM. Система будет перезагружена через 1 минуту" После чего начинается обратный отсчет и система действительно перезагружается через минуту. Подобное сообщение возникает либо сразу после входа в систему, либо после входа в Интернет.
Некоторое время комп был без антивира (закончилась лицензия). Поставил лицензионный DrWeb, иногда выскакивали срообщения об инфицированном файле. Вылечить комп от вирусов он не может. Удилил DrWeb, и сразу же установил Spyware Doctor. Spyware Doctor у меня обнаружил кучу вирусов (и это после DrWeb). Многие вылечил, но осталися Trojan-Spy.Zbot (12 инфицированных файлов, Adware.Advertising (1), Application.TrackingCookies (3), которые и он не может вылечить.
Ну это, как говорится, на вкус и цвет… DrWeb тоже не всемогущ, но все же понадежней своих собратьев.
К тому же, для серьезной проверки надежности антивируса, его рекомендуется устанавливать на чистую систему, еще не зараженную, для предотвращения заражения. А если машина уже заражена до установки антивируса, то чего-то сверхъестественного от него ждать не стоит — к примеру, вмешательство в реестр DrWeb не исправит, но, повторюсь, способен предотвратить его.
Опять же, я не навязываю, я просто советую, опираясь на собственный опыт.
P.S. Попробуйте оставшиеся вирусы удалить с помощью DrWeb LiveCD
Привет! Я тоже нашла файл svchost.exe Как его удалить?
Сначала выделяем нужный файл в Диспетчере Процессов (в AVZ), затем завершаем процесс, щелкнув на кнопку в виде красного Х. Запоминаем название файла и путь к нему, чтобы после завершения процесса найти его и удалить вручную.
5 процессов svchost.exe — это вполне нормальное явление. Рекомендую почитать — процесс svchost.exe.
А по делу — на вашем снимке я бы обратил внимание на процесс pastisvc.exe.
А если у меня 5 файлов svchost.exe??? Какой мне удалять??
http://clip2net.com/page/m0/2113402
млин,я ламер )))
У меня проблема с AUTHORITY\SYSTEM и перезагрузкой компа из-за DCOM началась вчера. При загрузке перед Приветствием он выдавал еще ошибку про svchost что-то…
Я поставил AVZ просканил, полазил там.
Теперь комп не перезагружается и ничего не выскакивает, но не работают некоторые программы((( Пишет типа не может обратиться к памяти и т.д.
Потом скачал KK.exe. Тож просканил. Ничего не нашел.
Потом обратил внимание на наличие в system32 файлов twext.exe и oembios.exe. Скачал ZbotKiller.exe, который лечит от Trojan-Spy.Win32.Zbot.
Нашел штук 10 всякой фигни, все вылечил.
но ошибка при обращении к памяти осталась(((
Что мне делать с процессом pastisvc.exe. Как узнать вирус или нет????
Попробуйте завершить процесс pastisvc.exe в диспетчере процессов AVZ. После этого проверьте, будут ли работать программы, которые до этого не работали. Если заработают — найдите и удалите файл pastisvc.exe.
Но, скорее всего, дело в том, что запускаемые файлы этих программ просто заражены или повреждены вирусом. Советую проверить папки с этими программами утилитой DrWeb CureIt и найденные зараженные файлы не удалять, а лечить по возможности. Если не получится, прийдется переустановить поврежденные программы.
Если я DrWeb CureIt поставлю, то мне NOD32 свой сносить??
И еще, теперь при включении компа выскакивает окошко — Мастер установки нового оборудования. Что-то ищет, не находит и всё.
Вирус не дает открыть такие проги, как Эксплорер, Мозилу
DrWeb CureIt не конфликтует с другими антивирусами — это вообще, лучшее изобретение человечества)) Если на своем компьютере не сможете его скачать — скачайте у друзей или на работе. Также советую запускать его с флэшки (так больше шансов на удачный запуск, поскольку вирусы стараются его заблокировать). Обязательно качайте с сайта drweb.ru, поскольку база утилиты ежедневно обновляется, а на оф. сайте вы всегда сможете скачать самую последнюю версию.
Возможно, после полной проверки компа все проблемы уйдут… пока ничего советовать не буду, сначала проверьте.
Отключение системы вызвано NT AUTHORITY\SYSTEM. Система будет перезагружена через 1 минуту. Перед этим всплывают окна, ошибки приложений svchost.exe и еще какое-то, есои их закрвать, то процесс включения NT AUTHORITY\SYSTEM ускоряется, вкючается счетчик на одну минуту, тогда уже ничего не работает, система начинает перезагружаться. Диспетчер задачач блокирован. А как мне быстро попасть в свойства, диспетчер процессов?
Успеть за 1 минуту запустить AVZ и войти в меню "Файл" — "Восстановление системы". Там поставить галочку напротив пункта "Разблокировать диспетчер задач" и нажать "Выполнить". После этого доступ к диспетчеру задач обязательно откроется. А в нем уже можно искать виновника неприятностей. Или пользоваться встроенным в AVZ диспетчером процессов — он более информативен.
Ненедо никуда успевать, команда shutdown -a успешно справляеться со своей задачей, т.е. отменяет выключение/перезагрузку. И можно спокойно дальше ковыряться
Спасибо за совет — при следующей встрече попробую)))
svchost.exe как только начинаю ее трогать, сразу вылазит эта табличка и комп вырубается, начинаю их завершать быстро-быстро, а они размножаются и все равно табличка не закрывается…все вроде понятно написано, но ничего сделать не могу((((
Что б отключить перезагрузку можна в командной строке прописать "shutdown -a"
александр будь добр подскажи, как можно вылечить вирус на оперативке — Win32/Olmarik троянская программа — очистка NOD32 невозможна… И буквально через полчаса вылезает ошибка — AUTHORITY\SYSTEM и перезагрузкой компа из-за DCOM… заранее благодарю
У меня такая же проблема.При включении ОС появляется ошибка приложения svchost.exe, потом счетчик считает минуту до отключения системы NT AUTHORITY\SYSTEM.Я скачал утилиту Аvz4, нашел 5 процессов svchost.exe,пытаюсь завершить процесс, опять выскакивает это же окно (считает минуту до отключения). Пробовал зайти в C:\Windows\System32, нашел файл svchost, но без разширения exe. Можно ли его удалять?
Спасибо за инфу про этот троян! Банально левый процесс в диспетчере устройств и в system32 эта экзеха. Убил ее и счастье пришло. Еще раз огромное спасибо за инфу!!!
Старайтесь сразу не удалять подозрительные файлы. Попробуйте их переименовать (к примеру, добавить 1 в имя файла…) и если после перезагрузки проблема исчезнет и система будет нормально работать, тогда уж удаляйте. Иначе можно снести важные процессы.
У меня проблема позаковырестей… Не работает AVZ… Просто не запускается двумя кликами… Запускается тока правая кнопка — Запуск от имени… Прога открывается, но все строчки написаны кракозябрами и даже если нажать "плей" чтобы произвести сканирование дисков, то выдает красные кракозябры одну строчку и все((( Из под безопасного режима все точно также ((( Что делатЬ?(((
Попробуйте переименовать файл avz.exe в другой, к примеру в файл avz2.exe и запустить переименованный файл.
Здраствуйте.Александр, огромное спасибо за совет. Я сделал проверку, DrWeb обнаружил много вирусов. Но на данный момент осталось 4 шт., и я никак не могу их удалить.
Вот:
00194687.FIL C:\$VAULT$.AVG Возможно, Trojan.Packed
02173562.FIL C:\$VAULT$.AVG Возможно, Trojan.Packed
A0143208.EXE C:\System Volume Information\_restore{D4DCDF71-711F-4412-916D-2FA31109265A}\RP64 Tool.HideWindows
A0144202.#xe E:\System Volume Information\_restore{D4DCDF71-711F-4412-916D-2FA31109265A}\RP64 Tool.ASEye.2
1-2 Насчет первых двух, то это когда-то давно я поставил программу AVG. Но позже не загружался Windows и я в безопасном режиме сделал восстановление системы, выбрав точку восстановления. После этого программа AVG исчезла, но остались две папки на диске С и Е под названиями $VAULT$.AVG. Открываю их – пустые, но пишет размер 618Кб и 546Кб. Скажите пожалуйста можно ли их удалить?
3-4 Насколько я знаю папка System Volume Information невидимая, подскажите можно ли удалить с помощью DrWeb, а если нет, то что вы посоветуете? Заранее благодарен.
1-2. Файлы удаляются с помощью утилиты Unlocker. Установив утилиту, щелкните правой кнопкой на нужном файле и выберите Unlocker, после чего в появившемся окне отключите все процессы, которыми этот файл занят. После этого файл можно будет удалить.
3-4. Папка System Volume Information содержит информацию, необходимую для восстановления системы. Видимо, при создании очередной контрольной точки, были записаны и вирусы. Это очень часто случается, вообще папка System Volume Information — это просто рассадник вирусов. Именно поэтому очень часто рекомендуют отключать восстановление системы. Смело удаляйте эти файлы через DrWeb — на текущее состояние системы это не повлияет.
Здраствуйте, Александр, подскажите, пожалуйста. У меня после перезагрузки компьютера не загружался Windows. Я выбрал загрузку в безопасном режиме, после перезагрузки – то же самое. Потом я выбрал восстановление системы (через Пуск – программы -стандартные – служебные- восстановление системы), и выбрал точку восстановление. Перезагрузил – то же самое. Тогда выбрал другую точку восстановление – все нормально. Подскажите, пожалуйста в чем может быть причина? В этот день я работал в Word, заходил на страницу «вконтакте», и смотрел фильм в Онлайне, никаких программ не устанавливал и не удалял. А за 2 дня до этого, при работе компьютера случайно была нажата кнопка включения на системном блоке, комп выключился, но потом я его включил, и все было нормально. Это может быть причиной? Заранее благодарен
Если честно, причиной поломки Windows может быть даже плохая погода, поскольку, даже после выхода последних обновлений, система по-прежнему остается нестабильной и способна удивлять даже бывалых мастеров. Но все же рекомендуется корректно завершать работу системы — так сюрпризов будет меньше.
Здравствуйте,
просматриваю svchostы.ехе : ssdpsru — что это? в сети о ней никакой информации. Стоит в строке с lmhosts, RemoteRegistry и Webclient.
Цп — 00, память — 1 384 Кб.
У меня тоже такая же дрянь — NT AUTHORITY\SYSTEM. Вчера два раза перезагружал при входе в сеть. Перед смертью говорил что-то про system32. Сегодня пока молчит…
"запускаем AVZ (если нет таковой – качаем и всегда носим с собой)"
Подскажите, где взять поименованную утилиту? и совместима ли она с NOD32 и Spybot?
AVZ можно скачать на сайте разработчика — http://www.z-oleg.com.
Может ssdpsrV?
ssdpsrV (Simple Service Discovery Protocol) частично отвечает за корректную работу USB, но используется, как правило, в Windows Millenium, а в XP больше похоже на заражение.
СПАСИБО!
Надо же, кто-то вместо меня уже спасибо сказал
)))
Да, конечно! это ssdpsrV !!! в этой же строке появилось какое-то "upnphost".
А как бы это самое ssdpsrV аккуратненько грохнуть, чтобы нужное не снести?
Запустите "Диспетчер процессов в AVZ" и посмотрите какие DLL используются в svchost'ах — там и поищите ssdpsrV и отправьте в карантин. По идее, ssdpsrV должен быть помечен НЕ зеленым цветом… но может быть и не так…
Помогите, пожалуйста!
Качали из и-нета фильм, после скачивания он не открылся, так как "занят другим приложением или пользователем". Проверили все NOD 32 — нашлось 2 трояна (мы их удалили, вылечить не получилось). Осталась еще куча заблокированных файлов (ошибка открытия). Что можно сделать?
ребята а непробовали для снятия отщота пользоватса командой shutdown -a, она снимает отщот и система не висит гг
привет всем! У меня ноутбук и при подключении к инету с помощью 3ж модема или просто модема от мобильного тел. через некоторое время (всегда по разному) процесс SYSTEM загружается на 100% и все тормозит. подключаю я через USB контроллер т.к родные USB не работают(такой брал). может кто знает в чем дело
Пробовали! ОтЩот снимает)))
Есть такая проблема с USB-портами. Попробуйте скачать программу Process Explorer, в которой дважды щелкните на процессе System и во вкладке Threads посмотрите файлы, которые грузят машину. Там же можно закрыть их, нажав на Kill. Если стоит DrWeb — почитайте недавнюю статью "Заплатка для DrWeb"
так люди помогайте))
я большой нуб)у меня тот же прикол с NT autirise/system
2 вопроса собственно):
1. что такое AVZ и где его достать и как быстро все сделать
2."ребята а непробовали для снятия отщота пользоватса командой shutdown -a, она снимает отщот и система не висит гг" куда его прописывать??
3.а что будет если я сразу баз АВЗ удалю C:\Windows\System32\userinit.exe и что будет если в нем было етого вируса? и я его удалил?..ет плохо? или ет очь плохо?
напишите ответ плз мне на е-меил iamnot@bigmir.net
просто зашел с комп.клуба и хз когда в следущий раз буду тут..плз
буду очь благодарен..
Александр, подскажите стоящий антивирус и файервол, исходя из вашего опыта.
http://www.anti-malware.ru/antivirus_test_zero-day_protection
http://www.matousec.com/projects/proactive-security-challenge/results.php
Стоит ли верить этим тестам???
На мыло iamnot@bigmir.net писканул.
Что есть тест? Тест — это маркетинговый прием, позволяющий красиво обкакать конкурентов и возвысить кого нужно… А если его еще и обставить как независимый и беспристрастный тест, то эффект будет просто поразительным)))
По первой ссылке даже предлагают купить "лучшие" из антивирусов, дабы они получили свой процент)) Да и вторая ссылка доверия не вызывает, зачем было так опускать AVG? DrWeb и Outpost совсем с землей сравняли… Ну и неудивительно, что Касперу все попу лижут — это уже привычное явление.
Я рекомендую один из следующих продуктов — AVG, DrWeb и Outpost. Ну и не скрываю свою симпатию к DrWeb, проверил его годами. Но, как говорится, на вкус и цвет фломастеры разные)))
про стоящий антивирус и файервол, если здесь не хотите распространяться,можно на not-mihalevets@yandex.ru, если не трудно. Заранее спасибо!!!
спасибо, на мыло теперь уж не надо.
наверняка знаете Spyware Doctor от PC Tools, просканируйте им комп и то, что он найдет, просканируйте (к примеру онлайн у Каспера, вебовской CureIt и т.п., можно на virustotal.com/ru отправить найденные файлы, дабы убедится в их нечистоте), так вот ни web, ни каспер, ни нод и еще другие не покажут скорее всего этот файл зараженным (у меня по крайней мере так было), Панда показал, что файл заражен Trojan.Downloader.bagle как и spyware doctor. Это было два дня назад. Сегодня зашел на сайт каспера, у него в новостях о новых угрозах красуется этот самый троянчик. И он скрывается от диспетчера задач, так что его там нет.
Понятное дело, нет волшебного универсального антивируса. И не важно, каким пользоваться — в любом случае настанет момент, когда ваш антивирус не сможет опознать угрозу. У меня также бывали случаи когда ни один антивирус не находил угрозы, а я видел ее своими глазами — поэтому нужно уметь самому определять вредоносные файлы, благо AVZ и Process Explorer позволяют нам это сделать.
ИМХО — кто первым нашел вирус, тот его и придумал)))
У меня NOD32 обнаружил вирус
C:\WINDOWS\system32\helper.dll Win32/Spy.Delf.OCU троянская программа очищен удалением — изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\cmd.exe.
Теперь при включении компьютера выскакивает окно RUNDLL и пишет ошибка при загрузке helper.dll. Не найден указанный модуль. Подскажите что делать…