[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4668: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4670: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4671: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4672: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
ДОУНБ :: Просмотр темы - Медицинский случай от 6 декабря
ДОУНБ
http://forum.libr.dp.ua/

Медицинский случай от 6 декабря
http://forum.libr.dp.ua/viewtopic.php?f=51&t=61
Страница 1 из 1

Автор:  Wladimir Mutel [ 08 дек 2009, 01:44 ]
Заголовок сообщения:  Медицинский случай от 6 декабря

Позвал меня хороший знакомый, который пытается овладевать компьютером и Интернетом с пользой для себя. Говорит, смотрел футбол по Интернету, да открылось рекламное окошко с порнухой, да предложило ему что-то скачать и установить (якобы обновлённый Flash Player), и после того, как он на это согласился, его компьютер захворал. Броузер был Opera, и Windows был XP SP3. Антивирус был Avira, даже с обновлениями, но он от этого не уберёг. Самый первый симптом - очень скоро после загрузки системы аварийно завершается процесс LSASS, и через минуту вся система перезагружается. Т.е. более-менее долгий антивирусный скан запустить нельзя.
В таких случаях я обычно загружаюсь с "живого CD". Люблю сборку , хотя включённые в её состав антивирусы не слишком полезны, а доустановить другие антивирусы там почти невозможно - недоступна для записи папка \windows\ на CD.
Загрузился с Alkida, поискал исполняемые файлы (*.exe;*.dll;*.sys;*.ocx), созданные или изменённые за прошедший день. Нашёл подозрительную DLLку в пользовательском профиле (\Documents and Settings\...\) и удалил её. Перезагрузился в нормальном режиме - и вот результат, LSASS больше не падает. Но остался другой симптом - на рабочем столе висит окошко, требующее отправить платную SMS на короткий номер и ввести полученный в ответ код для разблокировки системы. К счастью, запускать любые другие программы не запрещено.
Запускаю Autoruns - вижу подозрительный файл с раширением .tmp, внесённый в список UserInit. Запускаю regedit, нахожу имя этого файла в реестре, удаляю - оно снова появляется там через некоторое время. Запускаю Process Explorer, нахожу два процесса с таким именем и завершаю их. Заодно ищу дескрипторы, ссылающиеся на это имя файла, и принудительно закрываю те, что нашлись. Всё, теперь можно удалить файл с диска и ссылку на него из реестра.
Перезапускаю систему - приятно, вымогательское окошко исчезло. На всякий случай устанавливаю программу , обновляю её базу и делаю быстрое сканирование. Она находит ещё один вредоносный файл в \windows\system32 и пару ссылок в реестре, характерных для злонамеренных программ, и удаляет их.
Ещё один перезапуск - и систему можно возвращать владельцу.
Проверили с ним потом, как отличается поведение телефутбольного сайта под Operой и под Firefoxом. Firefox блокирует то всплывающее окно, с которого всё началось. Вот с Firefoxа и надо было бы начинать ...

Страница 1 из 1 Часовой пояс: UTC + 2 часа [ Летнее время ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/