• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Пропадает доступ в Интернет.

Статус
В этой теме нельзя размещать новые ответы.

damon

Активный пользователь
Сообщения
31
Симпатии
0
#1
Добрый день!

1) С некоторых пор внезапно пропадает интернет. Никаких событий и программ вроде бы не запускается. Просто перестают загружаться сайты. После перезагрузки компьютера доступ восстанавливается, но может пропасть в любую минуту.

2) На компьютере обнаружил подозрительные файлы: change.log в папке System Volume Information -> R1 Там целый набор файлов, но только change.log не удаляется. Только после разблокировки Unlocker -ом его удается удалить, но при следующей перезагрузке он появляется опять.
Также есть странные файлы ntuser.dat и ntuser.dat.log которые не удаляются и Unlocker не может их разблокировать.

Autologger не запустился, пришлось запускать AVZ и RSIST по отдельности.

С уважением,
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#2
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
2) На компьютере обнаружил подозрительные файлы: change.log в папке System Volume Information -> R1 Там целый набор файлов, но только change.log не удаляется. Только после разблокировки Unlocker -ом его удается удалить, но при следующей перезагрузке он появляется опять.
Также есть странные файлы ntuser.dat и ntuser.dat.log которые не удаляются и Unlocker не может их разблокировать.
Не трогайте легитим!
 

damon

Активный пользователь
Сообщения
31
Симпатии
0
#3
1) Сделано. Правильно я понимаю, что теперь доступ в интернет перестанет пропадать? Также вчера завис компьтер, когда он работал в автономном режиме (т.е. доступ в Интернет был отключен). При этом никаких приложений, которые могли бы спровоцировать зависание, запущено не было.

2) Простите, а что такое "легитим"?

С уважением,
 

damon

Активный пользователь
Сообщения
31
Симпатии
0
#4
Добрый день!

Вчера снова пропал доступ в интернет и завис компьютер.

Также в окне MS-DOS или меняется шрифт на нечитабельный или оно не развертывается на полный экран. Вместо этого оно перемещается на новое место.

Еще есть какое-то подозрительное соединение UDP от процесса svchost.exe, которое закачивает довольно большой объем информации на компьютер. У этого соединения странный источник и назначение.
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#5
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

damon

Активный пользователь
Сообщения
31
Симпатии
0
#6
Добрый день!

Собственно, все симптомы сохранились. Только что 2 раза внезапно пропал интернет и частично завис компьютер. На сайт удалось зайти с 3-го раза.
В программе была выбрано "Пользовательское сканирование", но были отмечены все возможные опции.

С уважением,
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#7
Все, что нашел MBAM можно удалить.
Подготовьте лог UVS
 

damon

Активный пользователь
Сообщения
31
Симпатии
0
#8
Добрый день!

То, что нашел MBAM - удалил.

При запуске uVS под текущим пользователем выдается "Ошибка №5".
Может есть другие варианты запуска?
 

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#9
Под LocalSystem? Если нет, то так:

В версии 2.70 добавлен дополнительный стартер - StartF.exe
Этот файл обладает иммунитетом к некоторым видам троянов, блокирующих запуск любых процессов и
соотв. способен запуститься, когда запуск других приложений НЕвозможен.
При запуске он блокирует:
o внедрение библиотек с помощью реестра в запускаемый процесс.
o запуск и перезапуск служб
и (!) выгружает все НЕизвестные процессы, разрешает запуск редактора реестра и диспетчера задач,
после чего запускает start.exe с ключом /d на (чистом рабочем столе), что практически полностью
исключает внедрение в uvs посторонних DLL.
(!) Startf.exe работает в течении 30 секунд и за это время необходимо выбрать параметры запуска uvs.
(!) StartF должен завершиться самостоятельно, выгружать его насильно не стоит.
(!) Перед завершением startf разблокирует запуск служб и снимает запрет на внедрение DLL.
(!) До завершения startf не_рекомендуется предпринимать активные действия в uvs.
 

damon

Активный пользователь
Сообщения
31
Симпатии
0
#10
Добрый день!

Не очень понимаю, что такое "под Local Host".

В обычном режиме запустить uVS не удалось. StartF.exe запускается на 2 секунды, потом пропадает и дальше ничего не происходит.

Запустил систему в безопасном режиме. Там uVS был запущен в обычном режиме. Результаты прилагаются.

Подскажите, пожалуйста, как все-таки запустить uVS в обычном режиме? Может есть еще какой-нибудь способ?

С уважением,
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#11
Ничего интересного не вижу кроме связки COMODO и Emsisoft Anti-Malware. Кстати комодо может блокировать запуск автологера.

Простите, а что такое "легитим"?
Стандартные файлы/функции операционной системы.
UDP от процесса svchost.exe, которое закачивает довольно большой объем информации на компьютер. У этого соединения странный источник и назначение.
Первая мысль обновления пытается скачать...

Выполните скрипт UVS
Код:
;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
; C:\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
deltmp
restart
После выполнения скрипта компьютер перезагрузится.Пока рекомендация пересоздать тему в профильном разделе.
 
Последнее редактирование:

damon

Активный пользователь
Сообщения
31
Симпатии
0
#12
Добрый день!

Все рекомендации выполнил, но на следующий день история повторилась. Также, как и раньше, внезапно перестали загружаться сайты и подвис компьютер на некоторых функциях.
Может быть, проблема в firefox и отдельных функциях? Какое-то приложение plugin-conteiner.exe почему-то перезагрузилось и доступ в интернет пропал. Хотя не исключено, что это совпадение.
Пытался проверить систему извне, с помощью Live USB Dr. Web, но компьютер не загрузился. Просто "замер" на первом экране. Хотя все необходимые настройки в BIOSе были.

С уважением,
 

Вложения

damon

Активный пользователь
Сообщения
31
Симпатии
0
#14
Да, это.
Вчера еще обнаружил папку Document and Setting\....\Mozilla\Firefox\Profilies\4r1iesq.default
В которой есть файл sessionstores.js Он не удаляется и Unlocker тоже не помогает. Unlocker пишет, что файл поврежден и можно удалить при следующей загрузке, но файл остается на своем месте.
Обычное удаление заканчивается надписью "Файл поврежден и чтение невозможно"

Также под подозрением процесс svchost.exe и ехplorer.exe. Может быть, нежелательные программы прикрываются этими процессами. Не подскажите, чем можно их проверить?

Доступ в интернет вчера пропадал 3 раза.

С уважением,
 

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#15
Прекращайте ломать систему, это нужные файлы. Почему не удалили одну из АВ программ? Активного заражения не вижу, поэтому нужно обратиться в профильный раздел, пусть спецы посмотрят
 

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#16
Система позволяет перейти на win 7?
 

damon

Активный пользователь
Сообщения
31
Симпатии
0
#17
Здравствуйте!

Почему не удалили одну из АВ программ?
АВ - это антивирус?

Сегодня обнаружил, что перед пропаданием интернета svchost.exe соединяется по UDP- соеденинию со странным сайтом.
Также файл svchost.exe был недавно изменен, хотя никаких обновлений Windows не устанавливалось.
И третье - размер файла на диске не совпадает с его исходным размером.


Скажите, пожалуйста, мне с этими проблемами все-таки перейти в профильный раздел или остаться здесь?


Система позволяет перейти на win 7?
Не могу сейчас сказать, буду исследовать вопрос.
 

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#18
С каким? Нужны подробности

Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.
 

damon

Активный пользователь
Сообщения
31
Симпатии
0
#19

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,290
Симпатии
4,829
#20
С некоторых пор внезапно пропадает интернет. Никаких событий и программ вроде бы не запускается. Просто перестают загружаться сайты.
Когда в следующий раз произойдет такое, тогда не перегружайте комп, а Выполните скрипт в AVZ
Код:
var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('route print >> diag.log');
STR.Add('ping google.com >> diag.log');
STR.Add('tracert google.com >> diag.log');
STR.Add('pathping google.com >> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
DeleteFile(GetAVZDirectory + 'diag.log');
DeleteFile(GetAVZDirectory + 'diag.cmd');
end.
Когда появиться сообщение, что скрипт выполнен, файл diag1.log из папки с AVZ выложите.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.