Wimdows Security Alert

Printable View

Показывать 40 сообщений этой темы на одной странице

06.01.2008, 20:35
f-a-u-s-t

Wimdows Security Alert

Народ всех с Новым Годом и рождеством грядущим ! Стоял NOD32 регулярно обновляемый и сегодня стала появляться такое предупреждение в маленьком окошке ([B][COLOR=RoyalBlue]Windows Security Alert[/COLOR]____ Warning! Potential Spyware Operation! Your Computer is making unauthorized copies of your system and Internet files. Run full scan now to prevent any unauthorized access to your files! Click here to download Spyware Remover ... Да/Нет[/B]) :santa: Нажимаешь да и это фуфло открывает сайт который предлагает слить их якобы антивирь или порно контролирует ваш ПК :biggrin: Весь прикол в том что подобные ресурсы никогда не юзались. А сам NOD при сканировании ссылается на hiberfil.sys, pagefile.sys и ещё каких то 7 неизвестынх вирусов, вдобавок оперативка закрыта для него, хотя может так и надо :xmas: Подскажите методы очистки, конечно же кроме форматирования диска :wink_3:
06.01.2008, 20:37
borka

[QUOTE=f-a-u-s-t;168065]Народ всех с Новым Годом и рождеством грядущим ! Стоял NOD32 регулярно обновляемый и сегодня стала появляться такое предупреждение в маленьком окошке ([B][COLOR=RoyalBlue]Windows Security Alert[/COLOR]____ Warning! Potential Spyware Operation! Your Computer is making unauthorized copies of your system and Internet files. Run full scan now to prevent any unauthorized access to your files! Click here to download Spyware Remover ... Да/Нет[/B]) :santa: Нажимаешь да и это фуфло открывает сайт который предлагает слить их якобы антивирь или порно контролирует ваш ПК :biggrin: Весь прикол в том что подобные ресурсы никогда не юзались. А сам NOD при сканировании ссылается на hiberfil.sys, pagefile.sys и ещё каких то 7 неизвестынх вирусов, вдобавок оперативка закрыта для него, хотя может так и надо :xmas: Подскажите методы очистки, конечно же кроме форматирования диска :wink_3:[/QUOTE]
Выполните [url=http://virusinfo.info/showthread.php?t=1235]Правила[/url].
07.01.2008, 20:27
f-a-u-s-t

Выполнить инструкции не могу, т.к. в безопасном да и других любых режимах AVZ и остальные программы не запускаются :(
07.01.2008, 20:30
V_Bond

попробуйте переименовать avz.exe в 1234.com
07.01.2008, 20:33
f-a-u-s-t

И ещё блокирует NOD32. Выдает такое сообщение (ошибка при связи со службой ядра NOD32). Cureit и Hijacktjis тоже не открываются :(
07.01.2008, 21:04
XP user

[quote=f-a-u-s-t;168492]И ещё блокирует NOD32. Выдает такое сообщение (ошибка при связи со службой ядра NOD32). Cureit и Hijacktjis тоже не открываются :([/quote]
NOD32 надо [b]ОТКЛЮЧИТЬ[/b] - он мешает.
Далее [b]тщательно[/b] выполнить правила! Обязательно отключить Восстановление Системы.

Paul
11.01.2008, 02:21
f-a-u-s-t

А по правилам шаг 10 нужно делать в безопасном режиме ? А то речь идёт о перезагрузке после 8го. И при проверке через AVZ где то промелькнуло, что проверяются порты. Кстати не запускается HijackThis (шаг 11) даже когда сливаю переименованный файл (1). А нод всё так же глючит с тем же ядром, процесс заглушить не могу, т.к. alt+ctrl+del (диспетчер задач отключен администратором) :sad:
11.01.2008, 02:23
V_Bond

[QUOTE=f-a-u-s-t;170444]А по правилам шаг 10 нужно делать в безопасном режиме ? [/QUOTE]
нет в обычном ...
11.01.2008, 02:25
f-a-u-s-t

[quote=V_Bond;170445]нет в обычном ...[/quote]

Дак с Hijack'ом как быть ? Не запускается :(
11.01.2008, 02:28
V_Bond

сделайте логи авз ... с ним потом разберемся ...
11.01.2008, 02:37
f-a-u-s-t

Кстати шаги с 1 по 9 я делал в безопасном режиме и там выбирал ДА для отключения восстановления системы. Но если учитывать что это всё нужно сделать в обычном режиме, то отключить восстановление я не могу. Свойства моего компьютера заблокированы ограничениями так же как alt+ctrl+del
11.01.2008, 03:01
f-a-u-s-t

Вложений: 2

Вот 2 первых лога AVZ. Извиняюсь если я их неправильно запаковал, хотя по идее их пакует сам AVZ.
11.01.2008, 03:26
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\medichi2.exe','');
QuarantineFile('C:\WINDOWS\medichi.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\Program Files\Common Files\PagingSYS.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\baselrx32.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\medichi.exe');
DeleteFile('C:\WINDOWS\medichi2.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
13.01.2008, 18:21
f-a-u-s-t

Файл карантина в общей сложности заархивированный после выполнения скрипта занимает 1.18метров, а здесь ограничение по размеру. Попробую по частям. Так же у меня так же заблокирована ПАНЕЛЬ УПРАВЛЕНИЯ и свойства рабочего стола :ohmy:
13.01.2008, 18:21
f-a-u-s-t

Всё так по частям тоже не лезет :( Извиняюсь что не так
13.01.2008, 18:32
drongo

читать внимательно что просят сделать , придёться братец писать ссылку саму, лентяи пошли :)

[url]http://virusinfo.info/upload_virus.php?tid=16041[/url]

по ссылке грузить и резать[b] не надо [/b] ,если меньше 20 мегабайт
13.01.2008, 19:11
f-a-u-s-t

[quote=drongo;171543]читать внимательно что просят сделать , придёться братец писать ссылку саму, лентяи пошли :)

[URL]http://virusinfo.info/upload_virus.php?tid=16041[/URL][/quote]

Спасибо братец :) По этой ссылке я уже выслал :rolleyes:

[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]

Кстати я и не заметил, но после выполнения этого скрипта в эфире тишина :wink_3: Спасибо ! :smile: Надеюсь система излечена хотя бы временно :xmas: Подскажите чем теперь себя обезопасить ? У провайдера обьявление что этот вирус, червь или троян, путешествует по сетке и кто то если его подцепил, он ссылается на другой комп подсети и вызывает эту ссылку откуда уже идёт заражение.

p.s. Всё таки флешку безопасно извлечь не могу, опять какие то ограничения для компьютера.
13.01.2008, 19:27
rubin

[b]Trojan.Win32.Agent.dqz[/b] C:\WINDOWS\medichi2.exe
[b]not-virus:Hoax.Win32.Renos.aom[/b] C:\WINDOWS\medichi.exe
[b]Trojan-PSW.Win32.Zbot.dk[/b] C:\WINDOWS\system32\ntos.exe - меняйте пароли
[b]Backdoor.Win32.Small.cbo[/b] C:\WINDOWS\murka.dat
[b]Trojan.Win32.Agent.dxa[/b] C:\Program Files\Common Files\PagingSYS.dll
[b]Rootkit.Win32.Agent.sv[/b] C:\WINDOWS\System32\Drivers\Beep.SYS
[b]Trojan.Win32.Agent.dwz[/b] C:\WINDOWS\system32\baselrx32.dll

Выполните сначала:
[code]function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2) ;
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := '';
SL := TStringList.Create;
SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do Begin SSS := SSS + DecHex(Ord(Copy(SS,i,1))); If i <> Length(SS) Then SSS := SSS + ','; end;
SSS := SSS + ',00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free;
End.[/code]

Затем
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Common Files\PagingSYS.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]

Сделайте повторно логи + приложите SubSystems.log из папки с AVZ
26.01.2008, 21:38
f-a-u-s-t

Извиняюсь за безтактность, тему упустил. Подскажите пожалуйста как выполнить логи после этих скриптов. Заранее спасибо !
26.01.2008, 21:41
drongo

[url]http://virusinfo.info/showthread.php?t=1235[/url] :)

Показывать 40 сообщений этой темы на одной странице