Решена Пропадает доступ в Интернет.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем damon, 16 сен 2014.

Статус темы:
Закрыта.
  1. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Добрый день!

    1) С некоторых пор внезапно пропадает интернет. Никаких событий и программ вроде бы не запускается. Просто перестают загружаться сайты. После перезагрузки компьютера доступ восстанавливается, но может пропасть в любую минуту.

    2) На компьютере обнаружил подозрительные файлы: change.log в папке System Volume Information -> R1 Там целый набор файлов, но только change.log не удаляется. Только после разблокировки Unlocker -ом его удается удалить, но при следующей перезагрузке он появляется опять.
    Также есть странные файлы ntuser.dat и ntuser.dat.log которые не удаляются и Unlocker не может их разблокировать.

    Autologger не запустился, пришлось запускать AVZ и RSIST по отдельности.

    С уважением,
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Пофиксите в HiJack
    Код (Text):
    F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
    Не трогайте легитим!
     
  3. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    1) Сделано. Правильно я понимаю, что теперь доступ в интернет перестанет пропадать? Также вчера завис компьтер, когда он работал в автономном режиме (т.е. доступ в Интернет был отключен). При этом никаких приложений, которые могли бы спровоцировать зависание, запущено не было.

    2) Простите, а что такое "легитим"?

    С уважением,
     
  4. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Добрый день!

    Вчера снова пропал доступ в интернет и завис компьютер.

    Также в окне MS-DOS или меняется шрифт на нечитабельный или оно не развертывается на полный экран. Вместо этого оно перемещается на новое место.

    Еще есть какое-то подозрительное соединение UDP от процесса svchost.exe, которое закачивает довольно большой объем информации на компьютер. У этого соединения странный источник и назначение.
     

    Вложения:

  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
  6. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Добрый день!

    Собственно, все симптомы сохранились. Только что 2 раза внезапно пропал интернет и частично завис компьютер. На сайт удалось зайти с 3-го раза.
    В программе была выбрано "Пользовательское сканирование", но были отмечены все возможные опции.

    С уважением,
     

    Вложения:

  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Все, что нашел MBAM можно удалить.
    Подготовьте лог UVS
     
  8. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Добрый день!

    То, что нашел MBAM - удалил.

    При запуске uVS под текущим пользователем выдается "Ошибка №5".
    Может есть другие варианты запуска?
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Под LocalSystem? Если нет, то так:

     
  10. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Добрый день!

    Не очень понимаю, что такое "под Local Host".

    В обычном режиме запустить uVS не удалось. StartF.exe запускается на 2 секунды, потом пропадает и дальше ничего не происходит.

    Запустил систему в безопасном режиме. Там uVS был запущен в обычном режиме. Результаты прилагаются.

    Подскажите, пожалуйста, как все-таки запустить uVS в обычном режиме? Может есть еще какой-нибудь способ?

    С уважением,
     

    Вложения:

  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Ничего интересного не вижу кроме связки COMODO и Emsisoft Anti-Malware. Кстати комодо может блокировать запуск автологера.

    Стандартные файлы/функции операционной системы.
    Первая мысль обновления пытается скачать...

    Выполните скрипт UVS
    Код (Text):

    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v383c
    OFFSGNSAVE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
    deltmp
    restart
     
    После выполнения скрипта компьютер перезагрузится.
    --- Объединённое сообщение, 4 окт 2014 ---
    Пока рекомендация пересоздать тему в профильном разделе.
     
    Последнее редактирование: 4 окт 2014
  12. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Добрый день!

    Все рекомендации выполнил, но на следующий день история повторилась. Также, как и раньше, внезапно перестали загружаться сайты и подвис компьютер на некоторых функциях.
    Может быть, проблема в firefox и отдельных функциях? Какое-то приложение plugin-conteiner.exe почему-то перезагрузилось и доступ в интернет пропал. Хотя не исключено, что это совпадение.
    Пытался проверить систему извне, с помощью Live USB Dr. Web, но компьютер не загрузился. Просто "замер" на первом экране. Хотя все необходимые настройки в BIOSе были.

    С уважением,
     

    Вложения:

  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
  14. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Да, это.
    Вчера еще обнаружил папку Document and Setting\....\Mozilla\Firefox\Profilies\4r1iesq.default
    В которой есть файл sessionstores.js Он не удаляется и Unlocker тоже не помогает. Unlocker пишет, что файл поврежден и можно удалить при следующей загрузке, но файл остается на своем месте.
    Обычное удаление заканчивается надписью "Файл поврежден и чтение невозможно"

    Также под подозрением процесс svchost.exe и ехplorer.exe. Может быть, нежелательные программы прикрываются этими процессами. Не подскажите, чем можно их проверить?

    Доступ в интернет вчера пропадал 3 раза.

    С уважением,
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Прекращайте ломать систему, это нужные файлы. Почему не удалили одну из АВ программ? Активного заражения не вижу, поэтому нужно обратиться в профильный раздел, пусть спецы посмотрят
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Система позволяет перейти на win 7?
     
  17. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Здравствуйте!

    АВ - это антивирус?

    Сегодня обнаружил, что перед пропаданием интернета svchost.exe соединяется по UDP- соеденинию со странным сайтом.
    Также файл svchost.exe был недавно изменен, хотя никаких обновлений Windows не устанавливалось.
    И третье - размер файла на диске не совпадает с его исходным размером.


    Скажите, пожалуйста, мне с этими проблемами все-таки перейти в профильный раздел или остаться здесь?


    Не могу сейчас сказать, буду исследовать вопрос.
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    С каким? Нужны подробности

    Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
    Подробнее читайте в руководстве.
     
  19. damon
    Оффлайн

    damon Пользователь

    Сообщения:
    40
    Симпатии:
    0
    Ссылка на отчет:

    http://www.getsysteminfo.com/read.php?file=4a445c2c8c009fad7262b316afab8638
    --- Объединённое сообщение, 13 окт 2014, Дата первоначального сообщения: 13 окт 2014 ---
    Имя сайта, с которым связывался svchost.exe
    (см. файл)
     

    Вложения:

  20. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Когда в следующий раз произойдет такое, тогда не перегружайте комп, а Выполните скрипт в AVZ
    Код (Text):
    var
    STR : TStringList;
    CMDFile: string;
    begin
    ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
    STR := TStringList.Create;
    STR.Add('ipconfig /all > diag.log');
    STR.Add('route print >> diag.log');
    STR.Add('ping google.com >> diag.log');
    STR.Add('tracert google.com >> diag.log');
    STR.Add('pathping google.com >> diag.log');
    STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
    CMDFile:= GetAVZDirectory + 'diag.cmd';
    ExecuteFile(CMDFile, '', 0, 200000, true);
    ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
    DeleteFile(GetAVZDirectory + 'diag.log');
    DeleteFile(GetAVZDirectory + 'diag.cmd');
    end.
    Когда появиться сообщение, что скрипт выполнен, файл diag1.log из папки с AVZ выложите.
     
    Последнее редактирование: 18 окт 2014
Статус темы:
Закрыта.

Поделиться этой страницей