Показано с 1 по 18 из 18.

Блокировка настроек windows + попытка убедить меня скачать никий антивирус из интернета (заявка № 16606)

  1. #1
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60

    Thumbs up Блокировка настроек windows + попытка убедить меня скачать никий антивирус из интернета

    Добрый день!
    Ситуация в следующем, пару дней назад, при включении компьютера, обнаружил, что картинка рабочего стола изменилась на монотонный синий фон. Решил проверить настройки рабочего стола, при попытке запустить "Свойства" появилось окно с сообщением "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети." (и так с любыми настройками windows), так же из панели пуск пропала "панель управления" и "Выполнить...". Так же постоянно каждые 10 мин (ориентировочно) начало спамить окошко с сообщением якобы от микрософта, приблизительный смысл: "у вас найдены вирусы, скачайте себе спец антивирус софт" и варианты "да", "нет". AVZ был заблокирован, его удалось запустить только путём переноса в другую папку и смены имени экзешника. В результате после проверки компьютера Dr.Web сканом и AVZ, был удалён ряд файлов опознанных, как трояны. Окошко с предложением скачать "супер софт" больше не появлялось, но допуска к настройкам ОС я так и не имею.. да и ещё синий фон рабочего стола сменился на такой же фон, только с угрожающей надписью "Warning! Spyware detected on your computer! Install an antivirus or psyware remover to clean your computer."
    Dr.Web и AVZ вирусов не находят.
    Прошу по возможности помочь искоренить вредителя.

    С уважением, Круглов Сергей.
    Последний раз редактировалось skat; 11.08.2008 в 18:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\winload.dll','');
     QuarantineFile('C:\WINDOWS\system32\winknt.exe','');
     QuarantineFile('c:\windows\system32\..\svchost.exe','');
     QuarantineFile('c:\windows\system32\ctfmona.exe','');
     DeleteFile('c:\windows\system32\ctfmona.exe');
     DeleteFile('c:\windows\system32\..\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\winload.dll');
     BC_ImportALL;
     BC_DeleteSvc('Adiau3wss');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Цитата Сообщение от Maxim Посмотреть сообщение
    Загрузите карантин согласно приложению №3 правил.
    загрузил.

    Цитата Сообщение от Maxim Посмотреть сообщение
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
    пофиксил.

    Забыл сообщить. В связи с невозможностью пользоваться настройками, не смог отключить "Восстановление системы".

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    А где логи? winknt.exe Вам знаком?

  6. #5
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Файл незнаком.
    Последний раз редактировалось skat; 11.08.2008 в 18:45.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\winknt.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Цитата Сообщение от Maxim Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\winknt.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.
    Загрузил.. надеюсь то, что надо. У меня файлы карантина в avz в списке добавляются с каждым разом, надо присылать те, которые прописаны в данном скрипте? или я не правильно понял..
    Последний раз редактировалось skat; 11.08.2008 в 18:45.

  9. #8
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Доступ к настройкам появился.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Вы пользовались утилитой gmer?

    Отключите восстановление системы и антивирус!

    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
     BC_DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.

  11. #10
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Цитата Сообщение от Maxim Посмотреть сообщение
    Вы пользовались утилитой gmer?
    С момента появленияя этого вируса нет. Раньше - да.
    Цитата Сообщение от Maxim Посмотреть сообщение
    Отключите восстановление системы и антивирус!
    Восстановление отключил. Антивирус закрыл из списка процессов Диспетчера задач.
    Цитата Сообщение от Maxim Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
     BC_DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.
    Скрипт выполнил. При перезагрузке компьютер завис. Перезагрузился хард резетом. Дальнейших сбоев не наблюдается.
    Последний раз редактировалось skat; 11.08.2008 в 18:45.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах не видно ничего зловредного ... какие-то проблемы остались ?

  13. #12
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Нет, доступ к настройкам открылся, все исчезнувшие функции тоже.
    Огромное Вам спасибо!

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Что из этого не нужно?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  15. #14
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Как раз хотел спросить, т.к. не разбираюсь в функциях служб совсем.
    У меня дома 2 компьютера через роутер подключены к локальной сети.
    Если эти службы не являются необходимыми для корректной работы данного подключения, то попросил бы их закрыть. Лично я никак удалённо компьютер не использую.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Расшаренные папки есть?

  17. #16
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    да, для обмена файлами между домашними компьютерами.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Тогда так
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    46
    Вес репутации
    60
    Выполнил.
    Максим, ещё раз, огромное Вам спасибо!

  • Уважаемый(ая) skat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокировка интернета.
      От Logo в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.04.2011, 09:23
    2. Блокировка интернета.
      От Petros в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.02.2011, 15:30
    3. Ответов: 22
      Последнее сообщение: 08.08.2010, 23:47
    4. Блокировка интернета
      От pantificus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.09.2009, 20:44
    5. Восстановление настроек Windows
      От Rene-gad в разделе Чаво
      Ответов: 0
      Последнее сообщение: 08.06.2007, 17:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01150 seconds with 19 queries