-
Junior Member
- Вес репутации
- 60
Лишение прав администратора, "windows security alert"
Всего 3 дня не было, уже намудрили с переустановленной системой. Во-первых постоянно висит желтый треугольник в углу с открытым окном - Windows antivirus.
Windows has detected spyware infection! и так далее. Пытается послать на некий http://sanitardiska.com. Помимо этого периодически выкидывает окно Windows Security alert, пытается поставить Ultimate Defender. Ad-aware 2007 нашел
Winlogon shell
CLSID
hklm\software\microsoft\windows nt\currentversion\winlogon\shell
Nod32 ничего не нашел, Agnitum outpost тоже нашел этот winlogon shell, но сделать ничего не смог. В процессах долгое время запускался reg.exe(windows\system32\), причем дублируя себя. Также в фоне работает spoolsv.exe(запускает SYSTEM), shell.exe(от имени текущей учетной записи). Лишился доступа в настройкам, regedit, свойствам Мой Компьютер. Других пользователей не вижу при попытке сменить запись, через total commander нашел такие новые папки в documents and settings:
Default User, Default user.windows, LocalService, LocalService.NT Authority.000, LocalService.NT Authority, NetworkService и еще две такие же папки с NT.Authority и 000.
Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 19:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
I am not young enough to know everything...
-
-
Скачайте и запустите маленькую утилиту. Всё что красное отметить и нажать 'Remove'. Чтобы выйти из программы, нажать 'Exit'. Потом перезагрузитесь и сделайте заново логи, в том числе логи AVZ.
Последний раз редактировалось Макcим; 05.01.2008 в 16:34.
-
-
Junior Member
- Вес репутации
- 60
Утилиту запустил, сейчас по новой сделаю логи. Досадно, что без safe mode не работает у меня. / Еще вопрос, у меня есть процесс shovth.exe, который периодически умирает, и говорит об этом, не знаете что это?)
-
Делайте логи, попробуем исправить.
-
-
Junior Member
- Вес репутации
- 60
Фуф.. Еще 2 синих экрана позади.) Вот логи..
Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 21:28.
-
Junior Member
- Вес репутации
- 60
Проблема с последним логом. Вроде удалось выложить.
Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 21:28.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Helper\ifastseek.dll','');
QuarantineFile('C:\windows\trayicons.exe','');
QuarantineFile('C:\windows\system32\winsos.exe','');
QuarantineFile('C:\windows\system32\winsn.exe','');
QuarantineFile('C:\windows\system32\spoolvs.exe','');
QuarantineFile('C:\windows\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\findfast.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\nvoclock.sys','');
QuarantineFile('C:\WINDOWS\system32\kirjtkkd6c07-221a.sys','');
QuarantineFile('C:\WINDOWS\system32\kirjtkkd399e-3c12.sys','');
QuarantineFile('C:\windows\windisk.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\windows\shell.exe','');
DeleteFile('c:\windows\shell.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
DeleteFile('C:\windows\windisk.dll');
DeleteFile('C:\WINDOWS\system32\kirjtkkd399e-3c12.sys');
DeleteFile('C:\WINDOWS\system32\kirjtkkd6c07-221a.sys');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\findfast.exe');
DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\windows\system32\printer.exe');
DeleteFile('C:\windows\system32\spoolvs.exe');
DeleteFile('C:\windows\system32\winsn.exe');
DeleteFile('C:\windows\system32\winsos.exe');
DeleteFile('C:\windows\trayicons.exe');
DeleteFile('C:\Documents and Settings\Меню\Application Data\trant.exe');
DeleteFile('C:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин по этой ссылке. Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Спасибо сейчас сделаю все.
-
хороший наборчик ;-)
вот Qby41.sys ещё поискать - по второму пункту правил. и не забывать перед исполнением скриптов отключать инет , антивирус и фаэрвол.
-
-
Junior Member
- Вес репутации
- 60
Да уж. Я тоже дивлюсь как за 3 дня такое можно устроить. =) 3 лога новые выкладываю, и 2 карантина скидываю по просьбе.
Пока ничего не изменилось, все по старому, после того как запускал скрипт. Все делал в safe mode, так что вряд ли там хоть что-то лишнее будет)
Последний раз редактировалось AdeptusArbitres; 06.01.2008 в 02:13.
-
1. Отключить восстановление системы.
2. Обновить базы AVZ
3. Сделать полную проверку куритом в безопасном режиме, потом в обычном и лишь потом переделать логи.
-
-
Junior Member
- Вес репутации
- 60
Шутки шутками, но каким образом я могу ее выключить если у меня даже на свойства рабочего стола ограничение. /
Что такое курит? о.О У меня при попытке создать в avz лог не в безопасном режиме а обычном, выкидывает синий экран. /
Подскажите пожалуйста, а то я пока не пойму что делать.
Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 21:59.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(false);
end.
О курите прочитайте в правилах.
-
-
Junior Member
- Вес репутации
- 60
С cureit разобрался, когда перечитал название третий раз.) Запустил его сперва в safe mode, потом в обычном, отчего-то он написал что все удалил, но ничего не изменилось. запустил повторно в той же последовательности, теперь исчезли назойливые окна и вся эта дрянь из процессов. Теперь запустить этот скрипт и создать заново логи?
Добавлено через 11 минут
Запускаю скрипт, он работает а затем выдает синий экран, пробовал 2 раза. Сейчас запущу из safe mode. По прежнему лишен прав администратора. Что делать?
Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 23:00.
Причина: Добавлено
-
запустите в safe mode ...
-
-
Сделайте ещё один лог как написано здесь.
-
-
Junior Member
- Вес репутации
- 60
Из safe mode нормально заработал, ограничения сняты, spyware удалены.)
Спасибо большое.)
Зы. Стоит все-таки еще раз делать лог?
-
Сделайте лог о котором я говорил выше. AVZ по прежнему не работает в нормальном режиме?
-
-
Junior Member
- Вес репутации
- 60
Нет. Не работает в обычном режиме никак.
Сделал лог. Когда запускал первый стандартный скрипт, в итоге ругался на отсутсвие драйвера avz. Протокол служб сделал.
Последний раз редактировалось AdeptusArbitres; 06.01.2008 в 13:42.