-
Junior Member
- Вес репутации
- 53
Не все страницы с интернет открываются, заблокированы чем-то на машине.
Проблема началось еще в январе. Провайдер, на котором сидела, прекратил предоставлять услуги и пока ждала чтоб дом подключили к нормальному оптоволокну перешла на дуалап Укртелекома "вильный доступ", кто с Украины знает что это такое - без контрактное подключение к интернет, но как оказалось оно очень хорошо ограничивает доступ к интернт, даже безлимитный по времени пакет не помогал решить проблему одновременного пользования через интернет, т.е. если закачивается обновление вирусолова (автомат.обновление, лицензионный нод32), то про почту, сайты или доступ к серверу через FTP - лучше забыть. Выключался Generic Host Process for Win32 Services, подключение к интернет показывало что оставался, но ничего нужного не шло, отключить было не возможно. Отключить интернет удавалось только перезагрузив машину. Автоматические обновления пришлось отключить, машина домашняя, пользуются ей активно доч и мама, я только так чтоб решить проблему сейчас сажусь. В определенную минуту при вылете Generic Host Process for Win32 Services произошли первые "закрытия" сайтов, всех тех что были открыты, как раз на машине сидела я. Перекрыло mail.ru, да так что вместо него загружается окно bing.com (поиск в интернет с запросом mail.ru), перекрытым оказались и yandex.ru, и google.com, но вроде без страниц bing.com, а просто с информацией что такой страницы нет. При этом поддомены открываются и у яндекса, и у маил и ya.ru тоже открывается. Дочка со временем сказала, что часть сайтов у нее перекрылась, когда были открыты их страницы, а она в это время была вконтакт.ру (кстати перекрыло и его тоже, и кажись однокласники.ру :-) ), но было это до того как я села на машину или после – не сказала. Возможно тогда что-то пришло на машину, записалось в реестр и организовало себя так, что через него выходит в интернет, т.к. автообновление НОДа было выключено, а делала ручное обновление, каюсь не ежедневно и даже может раз в месяц, и при глубокой проверки машины постоянно что-то находило и лечило. Было и такое что, по началу грешила на провайдера, но в июле дом наконец подключили к нормальному оптоволокну, но сайты это не открыло, хотя вроде и прекратило закрывать, хотя жалобы от дочери приходили что не все страницы с поиска открываются (учеба: рефераты, курсовые и прочее). После того как на оптоволокне машину поключилиа постоянно к интернет на комп с адреса провайдера шли атаки на машину. Чтоб украть окна предупреждения включила брандмауэр. Они перестали всплывать и пугать (чаще всего они выскакивали, когда меня не было дома). После того как в начале октября на машине прогулялся вирус и выключил рабочий стол, я занялась проверкой машины (с лечением НОД32 и вычисткой в реестрах его записи (рекомендации с форума http://sql.ru/forum/actualthread.asp...9+%f1%f2%ee%eb)). При попытках включения стола, решила немного апдейтить Виндос. Активация Вин прошла нормально (лицензионная) и при обновлениях все шло вобщем спокойно и СР3, и все рекомендованные для машины апдейты, но в самом начале раз 5 выскакивало окно Generic Host Process for Win32 Services об отключении, потом вроде как все работало, но уже через несколько минут произошло новое закрытие сайте, а главное что это сайт моих друзей(!!!!!!!!!), вот тут меня это уже явно достало. Попробовала установить другой браузер, сперва, как предложило обновление винды InternetExplorer 8, - тот же результат, убрала, вернулась к InternetExplorer 7 (не люблю бэт-версии, но убрала не чисто, не вычистила от прилагаемых к нему программок). Потом Мазиллу установила (без переноса установок InternetExplorer) – результат с темежи страницами тот же. Потом решила обновить InternetExplorer 7. Не с первого поворота установился, но со второй попытки все-таки стал, но результат тот же – не открывает одни и теже страницы. Бродмастер включен или выключен – со страницами сайтов одинаково себя ведет, запретов на страницы http не в нод, не в безопасности подключений нет. Переустанавливать Windows XP не вижу пока смысла, да и не хочется, т.к. много надстроек.
И так как это был первый сайт, на который я зашла после обновления, его и перекрыла. Все последующие не прекрывает! У меня есть подозрение, что с вконткта.ру хватануло кусок ява-вируса и записало, и сейчас пишет, и пишет. Но самой мне пока его не найти. Вирусолов вычистил много всего в C:\Documents and Settings\User\Local Settings\Temporary Internet Files, а главное что часть файлов с раширением .gif, . bmp, .png, но есть и с .exe, хотя закачек программ точно не было, ну по крайней мере так говорят, что качали с инет только програму на компьютер для телефона. Первый вирус был отправлен в карантин январе C:\WINDOWS\system32\gndpbgl.dll (это данные с НОД32). Сохранились логии вирусов НОДа от лечения в октябре. Это если интересно глянуть.
Сейчас на машине рабочий стол есть, но с определенной периодичностью при загрузке панели пуск кнопки быстрого запуска отображаются не верно (не те иконки); страницы сайтов, какие постепенно перекрывало с январе, все также не доступны; при некоторых загрузках машины не происходит полной загрузки машины и при выключении машины через диспетчер задач, который можно вызвать ctr+alt+del, выскакивают окна что происходит завершение программ, которые до конца не могут закрыться. Программы по прядку выскакивания окон Services, Process for Win32, Generic Host. Именно так в строках они и называются и в таком порядке.
Антивирусную утилиту AVZ и все что к ней дается закачала, но опасаюсь что могу что-то напортачить с их запусками. Особенно с отключением НОДа. Но я попробую.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmmsfqgahh.dll','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\NEventMessages.dll','');
QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491949-601003312-1214\calc.exe','');
DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491949-601003312-1214\calc.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\NEventMessages.dll');
DeleteFile('C:\WINDOWS\system32\mmmsfqgahh.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Nokia Software Installer','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(1);
Executerepair(11);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Последний раз редактировалось Шапельский Александр; 07.11.2009 в 21:26.
-
-
Junior Member
- Вес репутации
- 53
При запуске скрипта выдало ошибку
Ошибка ')'expected в позиции 6:17
-
-
-
Junior Member
- Вес репутации
- 53
а где сам скрипт? беру с окна вверху.
-
Да там берите
Сделайте еще вот это
Пофиксить в Hijack следующие строки:
Код:
O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|x‰
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmsfqgahh.dll
-
-
Junior Member
- Вес репутации
- 53
Перезагрузка прошла не без проблем. Машина зависла. Даже диспечер задач не смогла вызвать. Ждала минуты 3. Перегрузила через кнопку Пайэр. Антивирус и сеть включились сами, хотя сеть была отключена и не должна была сама подключиться, если сохранились установки Виндоса.
Карантин закачиваю.
для "Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению"
интернет отключать согласно 6 После загрузки инструментов?
Последний раз редактировалось FieryBee; 07.11.2009 в 21:24.
-
Сначала пофиксите, затем выполните еще раз скрипт
"Повторите действия,
описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению"
повторите это
Последний раз редактировалось Шапельский Александр; 07.11.2009 в 21:34.
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Открыло файлы перекрытые в январе, а вот последний перекрытый, сайт моих друзей, не открыло :-(
Забла сказать, что когда фиксила Hijack, то строки
O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|x‰
в нем не было.
Последний раз редактировалось FieryBee; 07.11.2009 в 22:26.
-
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491949-601003312-1214\calc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Также сделайте лог Gmer и прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
прикрепляю лог описанния в п. 2 Диагностики
ка сделать лог Gmer увидела.
-
-
-
Junior Member
- Вес репутации
- 53
фуг, наконец закончил работу. Был включен Файл и их крутило очень долго.
При проверке Гмер в начале и в конце были Варнинги (всего два, но по английски и что писали.....).
Прикрепняю лог.
Пока спать. Продолжим завтра?
Последний раз редактировалось FieryBee; 08.11.2009 в 01:14.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится giikpnb7.exe (gmer)
Код:
giikpnb7.exe -del service gtavd
giikpnb7.exe -del file "C:\WINDOWS\system32\gnbpbgl.dll"
giikpnb7.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gtavd"
giikpnb7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gtavd"
giikpnb7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gtavd"
giikpnb7.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gtavd"
giikpnb7.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Пройдитесь по системе кидокиллером из статьи http://support.kaspersky.ru/faq/?qid=208636215
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 53
ок, счас сделаю
Добавлено через 7 минут
при запуске cleanup.bat выдало две ошибки:
"A error 0x00000...02 .... C:\WINDOWS\system32\gnbpbgl.dll: не найдено указаного модуля"
"DeleteKey: не найдено указаного модуля"
Добавлено через 11 минут
утилитой KK.exe прошлась.
Сайт перекрытый в октябре все также не доступен.
Последний раз редактировалось FieryBee; 08.11.2009 в 01:40.
Причина: Добавлено
-
Сообщение от
миднайт
Сделайте новый лог gmer.
?
-
-
Junior Member
- Вес репутации
- 53
Вот лог Гмер. При его создании сняла птичку на Файле.
-
Junior Member
- Вес репутации
- 53
Запустился апдейт Виндос. Предлагает установить обновление для Windows XP (KB967715)
Установите это обновление, чтобы устранить ошибку, при которой функции автозапуска не отключаются должным образом. После его установки может потребоваться перезагрузка компьютера.
Как порекомедуете. Установить или пока обновления виндос не трогать?