27.05.2010, 19:17 | #1 (ссылка) |
Новичок
Регистрация: 27.05.2010
Сообщений: 3
Репутация: 0
|
Тяжелый случай Pornhub
Доброго времени суток.
Началось с того, что домашний компьютер начал "подтормаживать" не смотря на сильную конфигурацию. Компьютер практически не выключается, поэтому решил его перезагрузить. После перезагрузки начались интересные вещи: 1) Не загрузился антивирус 2) При попытке запуска FireFox мелькало окно с порнокартинкой и просьбой отправить текст в смс (не могу сказать какой-куда, потому что окно тут же закрывалось) 3) IE открывал ссылки, но при попытке из родительского окна открыть ссылку в новом окне "успешно" закрывалось и дочернее и родительское 4) ТаскМенеджер не открывался (или так быстро закрывался после открытия что невооруженному взгляду не заметно) 5) при попытке запуска командной строки либо редактора реестра выдавалось сообщение "Доступ запрещен..." В просмотре событий ОС обнаружил: a) Оболочка неожиданно завершила работу, и программа "Explorer.exe rundll32.exe srnh.lto iqfnr" была перезапущена b) wuauclt (3408) Ядро базы данных остановлено. c) wuaueng.dll (3408) SUS20ClientDataStore: Ядро базы данных остановило работу экземпляра (0). d) Доступ к C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe был ограничен Администратором по расположению правилом политики {a23e1c51-e246-417b-8ee4-5f875edd801b}, расположенной в C:\Program Files\Kaspersky Lab На работе почитал ваш форум, отправил жене через exfile архивы с AVZ и Hijackthis для получения логов. Выяснилось еще 2 проблемы: 6) Даже при выделении файла avz комп уходил на перезагрузку 7) При попытке разархивировать любой архив возникал баннер рекламы с просьбой отправки смс Скачал на работе IceSword, заранее разархивировал, купил болванки для LiveCD и Kaspersky Rescue Disk 10 По приходу домой был удивлен: По словам жены комп был включен с подключением по локальной сети VPN провайдера, но без подключения к внешнему Интернет. Антивирус был отключен в связи с невозможностью запуска. Через некоторое время компьютер сам по себе выключился. Включил комп - ОС загрузилась нормально, без каких либо побочных эффектов. Загрузился Касперский. Как будто ничего и не было. AVZ и Hijackthis отработали без каких либо пререканий. Не понимаю куда все проблемы делись и понимаю что рано или поздно все с большой вероятностью возобновится. Поэтому очень прошу помочь разобраться. Лог Avz: http://exfile.ru/103886 Лог Hijackthis: http://exfile.ru/103887 Приношу извинения если описал проблему слишком подробно. Заранее премного благодарю. |
27.05.2010, 19:42 | #2 (ссылка) |
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); SetServiceStart('Netprotocol', 4); DeleteService('Netprotocol'); QuarantineFile('C:\WINDOWS\system32\srnh.lto',''); QuarantineFile('c:\documents and settings\gartemon\application data\netprotocol.exe',''); TerminateProcessByName('c:\documents and settings\gartemon\application data\netprotocol.exe'); DeleteFile('c:\documents and settings\gartemon\application data\netprotocol.exe'); DeleteFile('C:\WINDOWS\system32\srnh.lto'); DeleteFile('=.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end. Выполнить скрипт в AVZ. Код:
var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. |
27.05.2010, 20:27 | #3 (ссылка) |
Новичок
Регистрация: 27.05.2010
Сообщений: 3
Репутация: 0
|
Выполнил все Ваши рекомендации (скрипты).
Запрошенный файл отпрвил по почте. По окончании повторного формирования лога АВЗ выскочил диалог системной ошибкой: Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. Подпись ошибки: szAppName : svchost.exe szAppVer : 5.1.2600.5512 szModName : acgenral.dll szModVer : 5.1.2600.5512 offset : 000116e2 Содержание отчета об ошибке: C:\DOCUME~1\gartemon\LOCALS~1\Temp\WER592e.dir00\s vchost.exe.mdmp C:\DOCUME~1\gartemon\LOCALS~1\Temp\WER592e.dir00\a ppcompat.txt Новые логи: AVZ: Скачать virusinfo_syscure.zip с exfile.ru Hijackthis: Скачать hijackthis.log с exfile.ru |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Есть ли в ноутбуке защита на случай, если вентилятор перестанет работать? | Busine2009 | Железо | 3 | 24.12.2010 22:25 |
pornhub.com | spritz | Безопасность | 14 | 18.08.2010 14:49 |
Pornhub.com | Annexy | Безопасность | 3 | 28.06.2010 14:18 |
Pornhub.com баннер | piki | Безопасность | 10 | 20.06.2010 22:07 |
Был Pornhub.com баннер | hilosava | Безопасность | 6 | 19.06.2010 23:46 |
Баннер pornhub.com | mxnsk | Безопасность | 23 | 04.06.2010 14:04 |
pornhub - тяжелый случай с самолечением | marr111 | Безопасность | 2 | 02.06.2010 11:16 |
Pornhub.com задолбал | Super-Ken | Безопасность | 2 | 28.05.2010 17:09 |
Вирус Pornhub | saruul | Безопасность | 16 | 27.05.2010 13:44 |
Баннер pornhub.com | Tzar1990 | Безопасность | 4 | 27.05.2010 12:30 |
Pornhub | PVD | Безопасность | 4 | 26.05.2010 19:05 |
Тяжелый случай с ноутбуком на котором Windows 7 | uvaroa | Windows 7 | 12 | 17.02.2010 23:10 |