-
Full Member
- Вес репутации
- 0
Падает служба "Брандмауэр Windows"
При попытке повторного ручного запуска пишет, что "Не удалось запустить службу. Ошибка 5: отказано в доступе", хотя запуск ведется из-под административной учетной записи
В журнале событий пишется следующее:
Код:
Ошибка приложения svchost.exe, версия 5.1.2600.2180,
модуль netapi32.dll, версия 5.1.2600.2756, адрес 0x0000a510.
Win XP SP2
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Full Member
- Вес репутации
- 0
Ой, прошу прощения... вот логи.
Последний раз редактировалось AriaL; 04.05.2007 в 16:29.
-
Пришлите virusinfo_cure.zip по ссылке Прислать запрошенные файлы.
И для начала пофиксите в HijackThis:
-
-
Full Member
- Вес репутации
- 0
-
C:\WINDOWS\system32\rsvp32_2.dll - Trojan.Spambot (Dr.Web). Как и предполагалось.
AVZ - Файл - Выполнить скрипт:
Код:
begin
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(true);
end.
Будет перезагрузка. Возможно, пропадёт интернет. Если это случится, впыолнить такой скрипт:
Код:
begin
ExecuteRepair(14);
RebootWindows(true);
end.
Если интернета по-прежнему не будет, выполнить этот скрипт:
Код:
begin
ExecuteRepair(15);
RebootWindows(true);
end.
Потом сделайте новые логи.
Последний раз редактировалось Shu_b; 19.03.2007 в 21:47.
-
-
Full Member
- Вес репутации
- 0
Скрипт выполнил. Файл успешно удален, причем обошлось без пропадания интернета. Во всяком случае, C:\WINDOWS\system32\rsvp32_2.dll не существует.
Пара вопросов - у меня Dr Web 4.33 и сканер Spider, но почему-то эту гадость пропустил. Наверно, из-за настроек. Подскажите плиз, как его настроить, чтоб систему не очень тормозил, но и чтобы отлавливал вири? И еще - AVZ в виде резидентного сканера имеет смысл использовать?
Последний раз редактировалось AriaL; 04.05.2007 в 16:29.
-
Похоже новые гости :
Код:
begin
QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\flwzx.dll','');
end.
Пришлите, посмотрим .
насчёт дрвеб, ступайте в тему по нему . насчёт авз - это не предоставляется возможным.
-
-
Full Member
- Вес репутации
- 0
C:\WINDOWS\system32\browsemu.dll не добавляется в карантин. Пишет следующее:
Код:
Ошибка карантина файла "C:\WINDOWS\system32\browsemu.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\browsemu.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINDOWS\SYSTEM32\flwzx.dll
Поэтому прислал только один файл
-
эх , хотел без перезагрузки , не получиться
а если так?
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
RebootWindows(true);
end.
если не получиться попробуйте в ручную, хоть из safe mode запоролив конечно с паролем virus и прислать.
-
-
Full Member
- Вес репутации
- 0
Все то же. Даже из safe mode (без поддержки сетевых подключений). Более того, в system32 этого файла нет, в настройках папки стоит "показывать все файлы"! На всякий случай сделал поиск по всему каталогу Windows (поиск везде, и в скрытых, и в системных), нету этого файла.
Ща запущу проверку Dr. Web - пока писал этот пост, вылезло предупреждений 10 от Spydera, что вирус BackDoor.Generic.1138 сидит в "Моих документах"
-
C:\WINDOWS\SYSTEM32\flwzx.dll --> Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Backdoor.Win32.Agent.akp
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
---------
С уважением, Гаврильченко Роман
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Выполнить:
Код:
begin
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\system32\browsemu.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\flwzx.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки файл карантина выслать по приложению 3 Правил и файл boot_clr.log приложить сюда.
-
-
Full Member
- Вес репутации
- 0
Все выполнил.
Теперь еще стал "вылетать" один из svchost и после этого служба валится 100%
Последний раз редактировалось AriaL; 04.05.2007 в 16:29.
-
Запустите AVZ. Сервис - Поиск данных в реестре. Введите "browsemu.dll" без кавычек. Нажать на Пуск. По окончании поиска сохраните протокол и прикрепите к сообщению.
Затем тоже самое с flwzx.dll
Интересно куда гадость прописалась.
-
-
Full Member
- Вес репутации
- 0
Последний раз редактировалось AriaL; 04.05.2007 в 16:29.
-
Ну что же,попробуем почистить :
Сохраните сперва ваш реестр во избежание
http://support.microsoft.com/kb/322756/ru
Запустите повторный поиск как я писал в #14. По окончании поиска выберите закладку "Найденные ключи" отметьте, то что нашёл- нажмите удалить отмеченные ключи. Перезагрузитесь.
-
-
Full Member
- Вес репутации
- 0
Удалил. Вроде ничего не сломалось
В реестре заново они не прописались
Последний раз редактировалось AriaL; 21.03.2007 в 01:59.
-
Тогда давайте новые логи.
-
-
Full Member
- Вес репутации
- 0
Вот логи. svchost опять накрылся... через 2 минуты после запуска компа
UPD: посмотрел, в настройках глобальных правил в Outpost у меня откуда-то оказалось правило разрешать данные по 139 порту по IP-протоколу... убил его, посмотрим теперь, что будет с svchost
Последний раз редактировалось AriaL; 04.05.2007 в 16:29.
-
Full Member
- Вес репутации
- 0
svchost все равно вылетает...