NT AUTHORITY SYSTEM.
9 марта, 2009 | 
Автор: Речь пойдет о вирусе, вернее даже не о нем, а о способах борьбы с ним. Отличительной особенностью этого вируса является то, что он выдает сообщение «Система завершает работу. Сохраните данные и выйдите из системы. Отключение системы вызвано NT AUTHORITY\SYSTEM. Система будет перезагружена через 1 минуту» После чего начинается обратный отсчет и система действительно перезагружается через минуту. Подобное сообщение возникает либо сразу после входа в систему, либо после входа в Интернет. Иногда этот счетчик зависает и система не перезагружается, но при этом Windows тупит по-страшному и некоторые приложения не запускаются.
Антивирусы этого гада не видят, решил бороться ручками. Винду переустанавливать не хотелось – полез по инету. В принципе, вариант решения нашелся один – скачать специально заточенную под этот вирус утилиту от лаборатории Касперского. Скачал, запустил – не помогло. Пришлось самому мозгами шевелить. Оказалось, что этот вирус заблокировал редактор реестра и диспетчер задач. Сразу возникла мысль воспользоваться утилитой AVZ (как оказалось, мысль светлая).
Собственно, порядок борьбы таков – запускаем AVZ (если нет таковой – качаем и всегда носим с собой), затем Сервис -> Диспетчер процессов. Здесь обращаем внимание на строки, не помеченные зеленым цветом, если это не наши процессы – завершаем их, предварительно запомнив путь к запускаемым файлам. Далее удаляем файлы ручками через Проводник или меняем расширение, если сомневаемся. Ну а после восстанавливаем доступ к реестру и Диспетчеру Задач – AVZ -> Файл -> Восстановление системы. Выбираем «Разблокировку редактора реестра» и «Разблокировку диспетчера задач», ну и еще пару-тройку пунктов за компанию, если заметили неладное.
В моем случае счетчик зависал и я спокойно мог копаться в AVZ, правда с бооольшущими глюками. Если у вас счетчик не зависнет, то придется тренировать реакцию и скорость кликанья. Ну а виной всему оказался процесс userinit.exe, в папке C:\Windows\System32 (может и у вас он в виноватых окажется). В сотый раз убедился в том, что сисадмин – работа творческая.
Поделиться в соц. сетях
Рубрика: 
Метки: 
Loading ...
Ребят спасибо мне помогло. Вот кстати что нарыл на другом саите. Если вылазиет такая бяка, командуем Shutdown-a и счетчик отключается.
Александр помогите, удалил svchost.exe и svcpack.dll потерял доступ ко всему, файлы лежат и отдыхают в корзинке, вытащить не могу, что делать?
Александр,подскажите пожалуйста. Уже перестало выскакивать окно RUNDLL и ошибка при загрузке helper.dll (см.19 января 2010 18:42).Но мой NOD32 через каждую секунду выдает окно:
Адрес заблокирован.
Адрес URL: "2878s.com/brgr/abr.php"
IP-адрес: 195.78.108.200:80
Проверил комп в безопасном режиме.
Dr.Web Curllent — нашел 8 вирусов Trojan Packed.666-переместил,но проблема осталась.При этом иногда опять начало появляться сообщение, где счетчик считает минуту до отключения системы NT AUTHORITY\SYSTEM. Посоветуйте, что-нибудь…
Привет люди я в компах практически не смыслю.(только личный опыт)тоже возникли проблемы с этим процессом NT AUTORITY\SYSTEM но винду ни вкоем случае переставлять нельзя что делть как быть?AVZ-кой проверил процессы только не знаю какие можно отключичь а какие не стоит попробывал отключить один комп выдал синий экран с ошибками
Корзина находится в папке RECYCLED на системном диске, поэтому просто загрузитесь с любого LiveCD и скопируйте оттуда все файлы на место.
Отключайте процессы, НЕ помеченные зеленым цветом.
А какие это "не наши" процессы?
НЕ помеченные зеленым цветом
Здравствуйте, Александр!
У меня такая же вышеописанная проблема с вирусом, но в диспетчере процессов не помеченные зеленым цветом процессы точно не являются вирусами.
При этом при появлении сообщения о завершении работы системы он также пишет, что ошибка произошла в файле C:\WINDOWS\system32\services.exe
Я посмотрела, какие dll его используют, и там есть один, не помеченный зеленым цветом: urlmon.dll (OLE32 Extensions for Win32). Может ли он быть вирусом и что с ним делать?
Здравствуйте! У меня примерно та же ошибка, но сообщение звучит так:
"Система завершает работу. Сохраните данные и выйдите из системы. Все несохраненные изменения будут потеряны. Отключение системы вызвано NT AUTHORITY\SYSTEM.
Неожиданно завершен системный процесс C:\WINNT\SYSTEM32\SERVICES.EXE с кодом состояния 1073741819. Будет произведена перезагрузка системы."
В диспетчере процессов не помеченные зеленым цветом точно не являются вирусами. Проверила DLL процессы SERVICES.EXE, среди них только один не зеленый: "C:\WINDOWS\system32\urlmon.dll Handle 1631649792 Описание OLE32 Extensions for Win32". Копировала его в карантин, получила отказ в доступе к некоторым приложениям.
Где еще можно поискать этот вирус? Если нужны сведения поконкретней, пишите какие, я вам всё вышлю.
Александр,спасибо за совет с утилитой AVZ.Реально помогло.Правда сначала пришлось ввести команду "shutdown -a" и после неё запустить AVZ,где сделал сначала восстановление системы и выбрал все пункты.После этого пропали абсолютно все окна с ошибками и таймер отсчёта до перезагрузки.Теперь хочу капитально очистить компьютер программой SpyWare Doctor и после этого выполнить восстановление системы.В общем ещё раз спасибо вам,Александ,за ваши советы!.
подхватил NT AUTHORITY\SYSTEM. Система будет перезагружена через 1 минуту"
shutdown -a помог, но теперь у меня ровно 3 минуты на один клик!!! Что делать? С такой скоростью AVZ не скачаешь, да и в Инет не зайдешь!!! Помогите!) Система виснет…
Александр,подскажите пожалуйста где можно найти проводника и какие файлы надо через него удалять?(Далее удаляем файлы ручками через Проводник или меняем расширение, если сомневаемся.)заранее спасибо
та же фигня….шатдаун я не прописывал но он и так на перезагрузку не выходт…я скачал на 2 кампе AVZ закнул на флэшку…фишка вся в том что ноут эту флэшку не открывает и до AVZ мне не добраться папку (мой компьютер) тоже не открыть
попробывал в безопасном режиме загрузится эффект нулевой…помогите пожалуйста….
Попробуйте через диспетчер задач (Ctrl+Alt+Del) запустить explorer.exe (Файл — Новая задача). Это и есть проводник)
у меня полегче. у меня вылазит то же окно при включении , но если я захожу в "Гость" а потом в себя то окно уже не выскакиевает..
О_о че делать?
все почитал — ниче не понял!
Разблокер — это программа, которая поможет вам легко и быстро избавиться от последствий деятельности вирусов:заблокированный реестр, командная строка, диспетчер задач и другие системные службы…
http://depositfiles.com/files/8vz1cxmqy
напишите мне по понятнее пожалуйста!!!! как удалить вирус AUTHORITY\SYSTEM
А у меня сначала выскакивает обычная ошибка windows насчет services.exe ,потом всеми знакомое отключение AUTHORITY\SYSTEM и путь C:\WINDOWS\systen32\services.exe-1073740972
что мне нужно????
Если Windows не лицензионный не морочте себе голову. Просто отформатируйте диски и переустановите систему. Лично я так и сделал потому, что зто гораздо быстрее да и соплей после удаления вирусов не остается, которые в конце концов когда то вылезут.
Вообще то советую зайти по ссылке
http://support.microsoft.com/?scid=kb%3Bru%3B318447&x=15&y=13
Там кое что написано про эту дрянь и вроде бы это не вирус, а последствия некорректного обращения с программой очистки реестра. Советую почитать!
Рекомендую проверить автозагрузку в msconfig и через AVZ (Сервис — Менеджер автозапуска). В автозагрузке в msconfig можно удалить все галочки, кроме ctfmon. В AVZ все неизвестные процессы будут помечены черным цветом.
Компьютер выключается сам по себе — как устранить эту проблему?
Сразу скажу — это не перегрев процессора, и с питанием тоже порядок!
Это ВИРУС! Кстати которий антивирусы почемуто не ловят или
ловят, когда вирус поразил компьютер
————————————————————
Выходит сообщение:
Завершение работы системы.
Программа завершает работу. Сохраните
данные и выйдите из системы. Все
несохранённые изменения будут
потеряны. Отключение системы вызвано
NT AUTHORITY\SYSTEM
Время до отключения 00:00:59
Сообщение
Необходимо перезагрузить Windows,
поскольку произошла непредвиденная
остановка службы Запуск серверных
процессов DCOM
————————————————————
Ваши действия…
1.
После новой установки Windows я всегда делаю копию файла "boot.ini" в папке C:\.
Удалить файл "boot.ini" в папке C:\, и заменить на предварительно скопированный файл "boot.ini".
2.
Проверить на ошибки программой "windows-kb890830-v3.5.exe"
Которую можно скачать по адресу
http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=ru
3.
Удолить файл
userinit.exe в папке C:\Windows\System32
4.
Заглянуть сюда:
"Пуск -> Панель управления -> Администрирование -> Службы -> Удаленный вызов процедур RPC (Локальный компьютер)"
Далее жми "Свойства" на этой строчке и заходи в управление этой службой.
Переходи на вкладку "Восстановление" и ставь там везде "Перезапуск службы".
5.
Вот вам еще два ключика реестра чтобы в ребут не уходить постоянно,
хоть экран смерти увидите (если это не хардовая ошибка).
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
Изменить параметры:
Параметр "CrashDumpEnabled"=dword:00000001 (1)
и
Параметр "AutoReboot"=dword:00000000 (0)
6.
Так же сделать ПОЛНУЮ, ТЩАТЕЛЬНУЮ проверку антивирусом всего компьютера.
Мне помогло!!!
Спасибо за мануал)
У меня та же проблема только вот окошко это выскакивает сразу, даже система не успевает загрузиться. нажимаю Ctrl+Alt+Del И загружается диспетчер задач и рабочий стол, но на нем ни значков ни панели задач. Так что никакие программы запустить не возможно. Помогите пожалуйста!!!! Что делать?
Запускайте через сам диспетчер задач — Файл -> Новая задача (Выполнить).
Решение найдено!!! Сегодня утром 09.04.2010 мой комп тоже свалился по обсуждаемой причине. Зашел по совету Гуру в каталог %/system32, нашел там userinit.exe но удалить его не поднялась рука — его дата последнего изменения 2001г.! Тогда я настроил отображение папки %/system32 как таблицы и отфасовал файлы по падающей по дате изменения. И что бы Вы думали — 3 верхних файла изменены 09.04.2010 — какие-то мутные exe-шки: dc4e5d5a.exe somvwqI.exe t5O8NGI.exe Я переместил их — думаю теперь можно и удалить перезагрузил комп и ВСЁ СТАЛО OK !!! Кстати днем я отловил при помощи CUREIT один вирус -сейчас уже точно не назову, помню, что он относился к классу "киллеров" Удачи!!!
такая проблема. запускаю комп, сразу выскакивает две ошибки:
1.LSA Shell (Export Version) вызвало проблему и требует завершения.
2. RUNDLL
Ошибка при запуске C:/WINDOWS/SYSTEM32/dasada.exe не найден указанный модуль.
Далее выскакивает ошибка как и у всех с минутным таймером. помогите, не знаю что делать=((((((((
Проверьте автозапуск (Пуск — Выполнить — msconfig — Автозагрузка). Уберите галочки напротив похожих процессов, в принципе, можно отключить все кроме ctfmon.
Также проверьте параметры Shell и Userinit в реестре (Пуск — Выполнить — regedit). Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Shell должно иметь значение explorer.exe
А Userinit — значение C:\WINDOWS\system32\userinit.exe, (обязательно с запятой в конце).
Если не так — исправьте.
Не понимаю… Делаю все, что сказано. Но в диспетчере процесора незеленые только опера и проводник. Комп все также глючит…
Введя в поиск "svchost" нашла вот такие файлы:
svchost.exe
SVCHOST.EXE-350F672.pf
_SMSvcHostPerfCounters.h
_SMSvcHostPerfCounters.ini
_SMSvcHostPerfCounters.reg
_SMSvcHostPerfCounters.vrg
SMSvcHost.exe.config
Я не понимаю нужно ли здесь что-нибудь удалять.
У меня та же проблема с отключением системы, вызванным NT AUTHORITY\SYSTEM. Пробовал запустить Dr Web CureIt и AVZ — не запускаются. Переименовал их и пробовал запустить в Безопасном режиме и Безопасном режиме с поддержкой командной строки — все-равно не запускаются. В безопсаном режиме открыл Диспетчер задач и увидел несколько процессов svchost.exe, один из которых хавал почти весь ресурс проца. Завершил его и тут же опять выскочило окошко о Завершение работы системы из-за NT AUTHORITY\SYSTEM. Специальная лечилка этого виря от Symantec выдает ошибку, а от Касперыча говорит, что лечить нечего. Как убить этого падонка?
Помогите чайнику…мне лень качать AVZ,но своими золотыми ручками все сделаю вручную…установил на 100% что у меня на компе сассер вирус.После загрузки системы все нормально…но часто вылезает окно с те authority,system что вызвана перезагрузка…но это цветочки-нод 32 постоянно не может найти вирус,а один раз вообще сам отрубился!читал как боротся с вирусом,но видимо мне попалась новая модификация.в редакторе реестра открывал все папки по указанию(sasser.narod.ru) вплоть до run-а там нет процесса avserve.exe.Переустановить xp sp3 не могу-здесь мои многие важные документы.Подскажите….заранее спасибо!
Ну здрасьте, вам уже AVZ лень качать…
ладно,дайте пожалуйста ссылку на AVZ без вирусов =)
Такая проблема: система завершает работу, выскакивает окно с NT AUTHORITY\SYSTEM типа процесс не завершён в папке C\Windows\system32\lsass.exe. Из этой папки этот процесс не удаляется, при переименовинии тоже не удаляется. Из диспетчера задач тоже не удаляется, пишет — это критический системный процесс, диспетчер задач не может его завершить. Антивирусные программы его не видят — avast, DrWeb. Auz тоже запускала — не удалятся всё равно. Ещё диспетчер задач показал кучу процессов svchost.exe которые тоже критические и незавершаемые.
Продолжение к выше написанному мной комментарию: Старайюсь сразу не удалять подозрительные файлы. Попробую их переименовать (к примеру, добавить 1 в имя файла…), но после перезагрузки проблема не исчезнет. Файл lsass остаётся не удаляемый, к нему появляется второй lsass, второй удалить возможно, но через 3 сек. появляется снова…Утилита Unlocker не помогает, пишет удалить можно после перезагрузки, но нет, не удаляются всё равно.
Здравствуйте Александр! В моем случае ситуация немножко другая. Табличка services.exe и отсчет времени начинается только тогда когда я захожу в онлайн игру. В папке System32 никаких "левых" файлов нет, AVZ тоже ничего подозрительного мне не показывает, хотя в момент зависания не могу зайти в диспетчер процессов AVZ а в диспетчере задач Windows нет "левых" процессов. Что вы можете посоветовать?
Как увеличить быстродействие ком-ра? У меня оно от 0% до 4%!!! В идеале сколько должно быть? 100 наверное…но это фантастика! Комп-р всё время перезагружается сам, иногда окно вылазит с NT AUTHORITY\SYSTEM, сами отключаются драйверы для звука, мышки…Всё уже переустанавливала и винду и программы..не помогает.
Здраствуйте! У меня интернет стал отключаться сам, то есть соединение с провайдером идёт, а из Opera и Explorer выбивает, только после перезагрузки ком-ра можно опять зайти в инет. На вирусы миллион раз уже проверяла — Avast,DrWeb,Auz — они конечно нашли трояны, удалили или в карантине закрыли, но всё равно продолжается отключение инета из браузеров. И ещё, когда после зарузки винды открываю папку "Мой компьютер" она таааааак долго открывается..там такая кисточка машет..Что делать?
ой…не сочтите блондинкой:))))
Во общем нашла я этот фаил userinit.exe, но не как все нормальные люди наверное:))А через обычный поиск:) В описании этого файла написано "Приложение для входа в систему" …что делать с этим файлом?Можно ли его удалить простым удаление?
Еще момент, окно у меня это AUTHORITY\SYSTEM, вылазило один раз, вчера, перезагрузки не было,выключала комп, включила сегодня, комп работает …но тормозит.
александр,здравствуйте,я когда захожу в онлайн игру выдаёт это окошко((
милион раз уже проверялся всякими сканерами,пробывал удалить userinit.exe но он опять восстонавливается!
делал восстановление системы,не помогает(
помогите пожалуйста(
Здраствуйте! Имеются подозрительные файлы:
1- svchost.exe — диспетчер задач показывает пять таких процессов,при функции "завершить процесс" комп-р пишет "Завершение процесса может привести к нежелательным результатам, в том числе к потере данных или к нестабильной работе системы. Вы действительно хотите завершить процесс?"
2- lsass.exe — "Это критический системный процесс. Диспетчер задач не может его завершить."
Быстродействие моего комп-ра:
Загрузка — 0-4%
Файл подкачки 375 мб.
Комп-ер постоянно сам перезагружается, но сообщение типа NT AUTHORITY\SYSTEM не появляется.
Пожалуйста подскажите что делать.
Что делать если браузер Explorer вообще работать не хочет, а Opera работает в течении 20 минут, затем отключается, хотя соединение с провайдером идёт нормально. Только после перезагрузки ком-ра Opera опять работает, но только 20 мин.
здравствуйте, александр. подскажите, если у меня стоит нод и программа против вирусов Malwabytes Anti-Malware, могу я скачать AVZ? одно другому не помешает?
здравствуйте, александр. подскажите, если у меня стоит нод и программа против вирусов Malwabytes Anti-Malware, могу я скачать AVZ? одно другому не помешает?
не помешает! я сам лечил — все нормаша!
Здравствуйте!У меня появляется такой счетчик при запуске игры. Скачала утилиту на поиск бласта, но его не находит, что делать?
Здраствуйте! Спасибо Вам большое! Избавился от NT AUTHORITY\SYSTEM. Как и было сказано запустил AVZ , затем Сервис -> Диспетчер процессов. Ком очень вис, но все таки осилил! Обратил внимание на строки, не помеченные зеленым цветом, и завершил их, предварительно запомнив путь к запускаемым файлам. Далее удалил файлы ручками через Проводник. Ну а после восстанавил доступ к реестру и Диспетчеру Задач – AVZ -> Файл -> Восстановление системы. Выбрал «Разблокировку редактора реестра» и «Разблокировку диспетчера задач».
Но возникла проблема. Обнаружил Обнаружен статический маршрут к сайту производителя антивируса. Я не могу попасть на сайты доктора веб и других антивирусо…помогите!
Это мой любимый вирус кидо))
У меня проблема с AVZ, проверяет 2-5 сек и потом вылетает об ошибке какого то кода,
Windows 7 x64
http://snakes28.org.ru/blog/2009-11-17-3
Здесь найдешь про страницы сайтов антивирусников которые у тебя не открываются.
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip
а это ссылка на скачивание проги для убийства кидо)ну если не поможет в блоге написано как избавится)