Падает служба "Брандмауэр Windows"

**AriaL** · 18.03.2007, 00:21

При попытке повторного ручного запуска пишет, что "Не удалось запустить службу. Ошибка 5: отказано в доступе", хотя запуск ведется из-под административной учетной записи

В журнале событий пишется следующее:

Код:

 
Ошибка приложения svchost.exe, версия 5.1.2600.2180,
 модуль netapi32.dll, версия 5.1.2600.2756, адрес 0x0000a510.

Win XP SP2

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pig** · 18.03.2007, 04:03

http://virusinfo.info/showthread.php?t=1235

**AriaL** · 18.03.2007, 22:10

Ой, прошу прощения... вот логи.

**pig** · 19.03.2007, 02:19

Пришлите virusinfo_cure.zip по ссылке Прислать запрошенные файлы.
И для начала пофиксите в HijackThis:

Код:

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

**AriaL** · 19.03.2007, 19:45

Пофиксил. Файл прислал

**pig** · 19.03.2007, 21:08

C:\WINDOWS\system32\rsvp32_2.dll - Trojan.Spambot (Dr.Web). Как и предполагалось.

AVZ - Файл - Выполнить скрипт:

Код:

begin
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(true);
end.

Будет перезагрузка. Возможно, пропадёт интернет. Если это случится, впыолнить такой скрипт:

Код:

begin
ExecuteRepair(14);
RebootWindows(true);
end.

Если интернета по-прежнему не будет, выполнить этот скрипт:

Код:

begin
ExecuteRepair(15);
RebootWindows(true);
end.

Потом сделайте новые логи.

**AriaL** · 19.03.2007, 22:34

Скрипт выполнил. Файл успешно удален, причем обошлось без пропадания интернета. Во всяком случае, C:\WINDOWS\system32\rsvp32_2.dll не существует.

Пара вопросов - у меня Dr Web 4.33 и сканер Spider, но почему-то эту гадость пропустил. Наверно, из-за настроек. Подскажите плиз, как его настроить, чтоб систему не очень тормозил, но и чтобы отлавливал вири? И еще - AVZ в виде резидентного сканера имеет смысл использовать?

**drongo** · 19.03.2007, 22:53

Похоже новые гости :

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\flwzx.dll','');
end.

Пришлите, посмотрим .
насчёт дрвеб, ступайте в тему по нему . насчёт авз - это не предоставляется возможным.

**AriaL** · 19.03.2007, 23:26

C:\WINDOWS\system32\browsemu.dll не добавляется в карантин. Пишет следующее:

Код:

Ошибка карантина файла "C:\WINDOWS\system32\browsemu.dll", попытка прямого чтения
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\browsemu.dll", попытка прямого чтения
 Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINDOWS\SYSTEM32\flwzx.dll

Поэтому прислал только один файл

**drongo** · 19.03.2007, 23:33

эх , хотел без перезагрузки , не получиться

а если так?

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
RebootWindows(true);
end.

если не получиться попробуйте в ручную, хоть из safe mode

запоролив конечно с паролем virus и прислать.

**AriaL** · 20.03.2007, 00:07

Все то же. Даже из safe mode (без поддержки сетевых подключений). Более того, в system32 этого файла нет, в настройках папки стоит "показывать все файлы"! На всякий случай сделал поиск по всему каталогу Windows (поиск везде, и в скрытых, и в системных), нету этого файла.
Ща запущу проверку Dr. Web - пока писал этот пост, вылезло предупреждений 10 от Spydera, что вирус BackDoor.Generic.1138 сидит в "Моих документах"

**Кто?** · 20.03.2007, 02:39

C:\WINDOWS\SYSTEM32\flwzx.dll --> Здравствуйте.

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Backdoor.Win32.Agent.akp
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
---------
С уважением, Гаврильченко Роман
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Выполнить:

Код:

begin
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\system32\browsemu.dll');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\flwzx.dll');
 BC_ImportDeletedList;
 ExecuteSysClean; 
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки файл карантина выслать по приложению 3 Правил и файл boot_clr.log приложить сюда.

**AriaL** · 20.03.2007, 23:36

Все выполнил.
Теперь еще стал "вылетать" один из svchost

и после этого служба валится 100%

**drongo** · 21.03.2007, 00:00

Запустите AVZ. Сервис - Поиск данных в реестре. Введите "browsemu.dll" без кавычек. Нажать на Пуск. По окончании поиска сохраните протокол и прикрепите к сообщению.
Затем тоже самое с flwzx.dll
Интересно куда гадость прописалась.

**AriaL** · 21.03.2007, 00:12

Логи

**drongo** · 21.03.2007, 00:29

Ну что же,попробуем почистить :

Сохраните сперва ваш реестр во избежание

http://support.microsoft.com/kb/322756/ru

Запустите повторный поиск как я писал в #14. По окончании поиска выберите закладку "Найденные ключи" отметьте, то что нашёл- нажмите удалить отмеченные ключи. Перезагрузитесь.

**AriaL** · 21.03.2007, 01:53

Удалил. Вроде ничего не сломалось

В реестре заново они не прописались

**pig** · 21.03.2007, 11:59

Тогда давайте новые логи.

**AriaL** · 21.03.2007, 13:05

Вот логи. svchost опять накрылся...

через 2 минуты после запуска компа

UPD: посмотрел, в настройках глобальных правил в Outpost у меня откуда-то оказалось правило разрешать данные по 139 порту по IP-протоколу... убил его, посмотрим теперь, что будет с svchost

**AriaL** · 21.03.2007, 13:39

svchost все равно вылетает...

Падает служба "Брандмауэр Windows" (заявка № 8477)

Опции темы