-
Junior Member
- Вес репутации
- 50
Зависает компьютер при отключении firewall
На компьютере были обнаружены вирусы, пролечены утилитами AVZ, drwebcureit и антивирусом Касперского.
При отключении сетевого экрана в антивирусе Касперского при подключеном интернете иногда происходит зависание компьютера.
При переводе сетевого экрана в режим обучени выходят непонятные запросы на соединение от C:\WINDOWS\system32\services.exe
Логи из сетевого экрана (пример):
Описание:
Приложение служб и контроллеров
Соединение:
Направление: Исходящее
Протокол: TCP
Удаленный IP-адрес: 63.135.80.49
Удаленный порт: 80
Локальный порт: 1040
Информация о процессе:
Имя процесса: services.exe
ID процесса: 792
Файл программы: C:\WINDOWS\system32\services.exe
Командная строка:
Тип сокета: обычный
Соединение:
Направление: Исходящее
Протокол: TCP
Удаленный IP-адрес: ey-in-f83.1e100.net (74.125.79.83)
Удаленный порт: 80
Локальный порт: 1041
Информация о процессе:
Имя процесса: services.exe
ID процесса: 792
Файл программы: C:\WINDOWS\system32\services.exe
Командная строка:
Тип сокета: обычный
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Llq68.sys','');
DeleteService('Llq68');
StopService('Llq68');
DeleteService('d5f1f0c87d1e0149');
QuarantineFile('C:\WINDOWS\TEMP\11241396a7498','');
QuarantineFile('C:\WINDOWS\system32\Drivers\powfnfz.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\powfnfz.sys');
DeleteFile('C:\WINDOWS\TEMP\11241396a7498');
DeleteFile('C:\WINDOWS\System32\Drivers\Llq68.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 50
После выполнения указанного скрипта папка карантина была пустая.
При выполнении первого стандартного скрипта один фаил добавился в карантин.
Но потом папка карантин после второго стандартного скрипта стала пустой.
Новые логи высылаю.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rwcxmpg.dll');
DeleteFile('C:\WINDOWS\system32\syhohdj.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\powfnfz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
такой http://virusinfo.info/showthread.php?t=40118 лог сделайте
-
-
Junior Member
- Вес репутации
- 50
Gmer зависает через полминуты после начала полного сканирование и потом компьютер перезагружается с сообщением о "система восстановлена после ошибки"
Прикрепил лог экспрес проверки.
powfnfz удалил по рекомендации из темы: http://virusinfo.info/showthread.php?t=89529
zbotkiller нешел 2 файла: audio.dll и video.dll
Gmer также зависает, при экспресс тесте красные записи пропали
Последний раз редактировалось andrew77777; 14.01.2011 в 18:55.
-
Защитное ПО отключали при сканировании Gmer?
Если нет - сделайте это. Лог эспресс-проверки не подойдет.
Также повторите логи AVZ.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Логи.
После удаления powfnfz firewall в режиме обучения не ругается на "левую" активность.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('vevdrt', 4);
StopService('vevdrt');
DeleteService('vevdrt');
QuarantineFile('C:\WINDOWS\system32\Drivers\vevdrt.sys','');
QuarantineFile('C:\Temp\kgldaaog.sys','');
DeleteFile('C:\Temp\kgldaaog.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\vevdrt.sys');
BC_DeleteSvc('vevdrt');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
При загрузке сейчас пишет, что найдено новое оборудование, в диспетчере устройств "неизвестное устройство"
Логи и карантин высылаю.
-
выполните скрипт
Код:
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
V_Bond
выполните скрипт
Код:
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
сделал
-
-
-
Junior Member
- Вес репутации
- 50
Посторонней интернет активности нет.
Firewall отключал - не зависает.
Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-