• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Пропадает доступ в Интернет.

Статус
В этой теме нельзя размещать новые ответы.

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Добрый день!

1) С некоторых пор внезапно пропадает интернет. Никаких событий и программ вроде бы не запускается. Просто перестают загружаться сайты. После перезагрузки компьютера доступ восстанавливается, но может пропасть в любую минуту.

2) На компьютере обнаружил подозрительные файлы: change.log в папке System Volume Information -> R1 Там целый набор файлов, но только change.log не удаляется. Только после разблокировки Unlocker -ом его удается удалить, но при следующей перезагрузке он появляется опять.
Также есть странные файлы ntuser.dat и ntuser.dat.log которые не удаляются и Unlocker не может их разблокировать.

Autologger не запустился, пришлось запускать AVZ и RSIST по отдельности.

С уважением,
 

Вложения

  • virusinfo_syscheck.zip
    27.4 KB · Просмотры: 1
  • virusinfo_syscure.zip
    27.4 KB · Просмотры: 2
  • log.txt
    35.2 KB · Просмотры: 8

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

2) На компьютере обнаружил подозрительные файлы: change.log в папке System Volume Information -> R1 Там целый набор файлов, но только change.log не удаляется. Только после разблокировки Unlocker -ом его удается удалить, но при следующей перезагрузке он появляется опять.
Также есть странные файлы ntuser.dat и ntuser.dat.log которые не удаляются и Unlocker не может их разблокировать.
Не трогайте легитим!
 

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
1) Сделано. Правильно я понимаю, что теперь доступ в интернет перестанет пропадать? Также вчера завис компьтер, когда он работал в автономном режиме (т.е. доступ в Интернет был отключен). При этом никаких приложений, которые могли бы спровоцировать зависание, запущено не было.

2) Простите, а что такое "легитим"?

С уважением,
 

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Добрый день!

Вчера снова пропал доступ в интернет и завис компьютер.

Также в окне MS-DOS или меняется шрифт на нечитабельный или оно не развертывается на полный экран. Вместо этого оно перемещается на новое место.

Еще есть какое-то подозрительное соединение UDP от процесса svchost.exe, которое закачивает довольно большой объем информации на компьютер. У этого соединения странный источник и назначение.
 

Вложения

  • log.txt
    35.2 KB · Просмотры: 0
  • virusinfo_syscure.zip
    27.4 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    27.4 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,786
Баллы
2,293
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Добрый день!

Собственно, все симптомы сохранились. Только что 2 раза внезапно пропал интернет и частично завис компьютер. На сайт удалось зайти с 3-го раза.
В программе была выбрано "Пользовательское сканирование", но были отмечены все возможные опции.

С уважением,
 

Вложения

  • log mbam 26_09_2014.txt
    1.3 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,786
Баллы
2,293
Все, что нашел MBAM можно удалить.
Подготовьте лог UVS
 

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Добрый день!

То, что нашел MBAM - удалил.

При запуске uVS под текущим пользователем выдается "Ошибка №5".
Может есть другие варианты запуска?
 

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,786
Баллы
2,293
Под LocalSystem? Если нет, то так:

В версии 2.70 добавлен дополнительный стартер - StartF.exe
Этот файл обладает иммунитетом к некоторым видам троянов, блокирующих запуск любых процессов и
соотв. способен запуститься, когда запуск других приложений НЕвозможен.
При запуске он блокирует:
o внедрение библиотек с помощью реестра в запускаемый процесс.
o запуск и перезапуск служб
и (!) выгружает все НЕизвестные процессы, разрешает запуск редактора реестра и диспетчера задач,
после чего запускает start.exe с ключом /d на (чистом рабочем столе), что практически полностью
исключает внедрение в uvs посторонних DLL.
(!) Startf.exe работает в течении 30 секунд и за это время необходимо выбрать параметры запуска uvs.
(!) StartF должен завершиться самостоятельно, выгружать его насильно не стоит.
(!) Перед завершением startf разблокирует запуск служб и снимает запрет на внедрение DLL.
(!) До завершения startf не_рекомендуется предпринимать активные действия в uvs.
 

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Добрый день!

Не очень понимаю, что такое "под Local Host".

В обычном режиме запустить uVS не удалось. StartF.exe запускается на 2 секунды, потом пропадает и дальше ничего не происходит.

Запустил систему в безопасном режиме. Там uVS был запущен в обычном режиме. Результаты прилагаются.

Подскажите, пожалуйста, как все-таки запустить uVS в обычном режиме? Может есть еще какой-нибудь способ?

С уважением,
 

Вложения

  • IBM-8B8A95D092C_2014-10-03_20-05-41.7z
    313.9 KB · Просмотры: 7

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,786
Баллы
2,293
Ничего интересного не вижу кроме связки COMODO и Emsisoft Anti-Malware. Кстати комодо может блокировать запуск автологера.

Простите, а что такое "легитим"?
Стандартные файлы/функции операционной системы.
UDP от процесса svchost.exe, которое закачивает довольно большой объем информации на компьютер. У этого соединения странный источник и назначение.
Первая мысль обновления пытается скачать...

Выполните скрипт UVS
Код:
;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
; C:\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\TP4FPMFA.EXE
deltmp
restart
После выполнения скрипта компьютер перезагрузится.Пока рекомендация пересоздать тему в профильном разделе.
 
Последнее редактирование:

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Добрый день!

Все рекомендации выполнил, но на следующий день история повторилась. Также, как и раньше, внезапно перестали загружаться сайты и подвис компьютер на некоторых функциях.
Может быть, проблема в firefox и отдельных функциях? Какое-то приложение plugin-conteiner.exe почему-то перезагрузилось и доступ в интернет пропал. Хотя не исключено, что это совпадение.
Пытался проверить систему извне, с помощью Live USB Dr. Web, но компьютер не загрузился. Просто "замер" на первом экране. Хотя все необходимые настройки в BIOSе были.

С уважением,
 

Вложения

  • IBM-8B8A95D092C_2014-10-07_19-03-31.7z
    303.2 KB · Просмотры: 3

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Да, это.
Вчера еще обнаружил папку Document and Setting\....\Mozilla\Firefox\Profilies\4r1iesq.default
В которой есть файл sessionstores.js Он не удаляется и Unlocker тоже не помогает. Unlocker пишет, что файл поврежден и можно удалить при следующей загрузке, но файл остается на своем месте.
Обычное удаление заканчивается надписью "Файл поврежден и чтение невозможно"

Также под подозрением процесс svchost.exe и ехplorer.exe. Может быть, нежелательные программы прикрываются этими процессами. Не подскажите, чем можно их проверить?

Доступ в интернет вчера пропадал 3 раза.

С уважением,
 

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,786
Баллы
2,293
Прекращайте ломать систему, это нужные файлы. Почему не удалили одну из АВ программ? Активного заражения не вижу, поэтому нужно обратиться в профильный раздел, пусть спецы посмотрят
 

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,786
Баллы
2,293
Система позволяет перейти на win 7?
 

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316
Здравствуйте!

Почему не удалили одну из АВ программ?
АВ - это антивирус?

Сегодня обнаружил, что перед пропаданием интернета svchost.exe соединяется по UDP- соеденинию со странным сайтом.
Также файл svchost.exe был недавно изменен, хотя никаких обновлений Windows не устанавливалось.
И третье - размер файла на диске не совпадает с его исходным размером.


Скажите, пожалуйста, мне с этими проблемами все-таки перейти в профильный раздел или остаться здесь?


Система позволяет перейти на win 7?

Не могу сейчас сказать, буду исследовать вопрос.
 

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,786
Баллы
2,293
со странным сайтом.
С каким? Нужны подробности

Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.
 

damon

Активный пользователь
Сообщения
31
Реакции
0
Баллы
316

Вложения

  • name of site.txt
    62 байт · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
С некоторых пор внезапно пропадает интернет. Никаких событий и программ вроде бы не запускается. Просто перестают загружаться сайты.
Когда в следующий раз произойдет такое, тогда не перегружайте комп, а Выполните скрипт в AVZ
Код:
var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('route print >> diag.log');
STR.Add('ping google.com >> diag.log');
STR.Add('tracert google.com >> diag.log');
STR.Add('pathping google.com >> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
DeleteFile(GetAVZDirectory + 'diag.log');
DeleteFile(GetAVZDirectory + 'diag.cmd');
end.
Когда появиться сообщение, что скрипт выполнен, файл diag1.log из папки с AVZ выложите.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу