"Windows Security Alert"

Printable View

15.10.2007, 21:57
svm

Вложений: 3

"Windows Security Alert"

Добрый вечер,
проблема в следующем:
Виндоус загружается только в сейф моде.
После удаления НОД32, загружается нормально, периодически выскакивает окно "Windows Security Alert".
Отключить восстановление системы не удается - "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору"
В остальном всё сделал по "Правилам", надеюсь получилось.
Логи отправляю.
Жду ответа, Спасибо.
15.10.2007, 22:17
V_Bond

пофиксите...
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\System32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINXP\System32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINXP\System32\c++.exe','');
QuarantineFile('C:\WINXP\System32\WinAvXX.exe','');
QuarantineFile('C:\Documents and Settings\Админ.SAMSUNG-WONL5HV\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINXP\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\WINXP\System32\printer.exe','');
DeleteFile('C:\WINXP\System32\printer.exe');
DeleteFile('C:\Documents and Settings\All Users.WINXP\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Админ.SAMSUNG-WONL5HV\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINXP\System32\WinAvXX.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи..
16.10.2007, 09:32
Shu_b

Присланные
C:\WINXP\System32\WinAvXX.exe
C:\Documents and Settings\Админ.SAMSUNG-WONL5HV\Главное меню\Программы\Автозагрузка\system.exe
C:\Documents and Settings\All Users.WINXP\Главное меню\Программы\Автозагрузка\autorun.exe
C:\WINXP\System32\printer.exe
C:\System Volume Information\_restore{4ED09BCF-1321-43C0-9648-1A634CECC707}\RP18\A0002816.exe
C:\System Volume Information\_restore{4ED09BCF-1321-43C0-9648-1A634CECC707}\RP18\A0002817.exe
[QUOTE] Scan taken on 16 Oct 2007 05:19:52 (GMT)
A-Squared Found nothing
AntiVir Found TR/Crypt.ULPM.Gen, BDS/Small.ckm
ArcaVir Found nothing
Avast Found Win32:Agent-EQU
AVG Antivirus Found nothing
BitDefender Found Trojan.Peed.JZ, DeepScan:Generic.Malware.SFdld!g.C6FDD804
ClamAV Found Trojan.Small-4169
CPsecure Found nothing
Dr.Web Found Trojan.Fakealert.357, Trojan.DownLoader.34918
F-Prot Antivirus Found Possibly a new variant of W32/Fathom.3-based!Maximus, Possibly a new variant of W32/Threat-HLLSI-based!Maximus
F-Secure Anti-Virus Found Backdoor.Win32.Small.ckm
Fortinet Found W32/Agent.ZGR!tr.bdr
Kaspersky Anti-Virus Found Backdoor.Win32.Small.ckm
NOD32 Found Win32/Small.CKM
Norman Virus Control Found W32/Malware.AZDN
Panda Antivirus Found Trj/Downloader.MDW
Rising Antivirus Found nothing
Sophos Antivirus Found Mal/HckPk-A, Mal/Generic-A
VirusBuster Found nothing
VBA32 Found Backdoor.Win32.Small.ckm [/QUOTE]
16.10.2007, 10:27
svm

Вложений: 3

После выполнения скриптов проблемы исчезли.
Посылаю новые логи.
Большое спасибо за помощь.
16.10.2007, 10:36
PavelA

Cureit машину проверяли? Если нет. то надо сделать проверку.
Не нравиться мне прямое чтение Doc-файлов.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[CODE]F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\System32\undname.exe,C:\WINXP\System32\c++.exe,C:\WINXP\System32\c++.exe,C:\WINXP\System32\c++.exe,[/CODE]

Что-то в этой строчке черезчур много всего.
Выполнить скрипт:
[CODE]begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Да и вобщем-то пора поставить СП2 + кучу обновлений после него.
16.10.2007, 11:08
svm

Скрипты выполнил.
Эти файлы doc восстанавливались с битого HDD, в Ворде не открываются.
Проверку CureIT и антивирусом сделаю.
Спасибо.
16.10.2007, 11:12
PavelA

Первая строчка может вырубить c++ и некую приблуду из Visio C.
С ней надо поосторожнее.
17.10.2007, 16:59
svm

CureITом проверил, вирусов не нашел.
Всё работает.
Большое спасибо.
22.02.2009, 02:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users.winxp\\главное меню\\программы\\автозагрузка\\autorun.exe - [B]Hoax.Win32.Renos.ly[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\documents and settings\\админ.samsung-wonl5hv\\главное меню\\программы\\автозагрузка\\system.exe - [B]Hoax.Win32.Renos.ly[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\system volume information\\_restore{4ed09bcf-1321-43c0-9648-1a634cecc707}\\rp18\\a0002816.exe - [B]Backdoor.Win32.Small.ckm[/B] (DrWEB: BackDoor.Kiddy)[*] c:\\system volume information\\_restore{4ed09bcf-1321-43c0-9648-1a634cecc707}\\rp18\\a0002817.exe - [B]Backdoor.Win32.Small.ckm[/B] (DrWEB: BackDoor.Kiddy)[*] c:\\winxp\\system32\\printer.exe - [B]Hoax.Win32.Renos.ly[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\winxp\\system32\\winavxx.exe - [B]Hoax.Win32.Renos.ly[/B] (DrWEB: Trojan.Fakealert.357)[/LIST][/LIST]