Windows Security Alert

Добрый день,
проблема такова:
Каждые 5 минут выскакивает окно:
"Windows Security Alert
Warning! Potential Spyware Operation!
Your computer is making unauthorized copies of your system and
Internet files. Run full scan now to pervent any unathorised acces
to your files! Click YES to download spyware remover ..."
и варианты ответов Да и Нет.
Не удается зайти: в панель управления, в свойства рабочего стола...
Не удается выполнить 8 пункт правил, после запуска этой процедуры
компьютер начинает перезагрузку.
Отправляю некоторые логи.
Жду Вашего ответа, Спасибо.

Для начала выполните скрипт:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\t3.dll','');
QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
QuarantineFile('sulimo.dat','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
QuarantineFile('C:\Documents and Settings\MoloT\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('c:\windows\system32\printer.exe','');
BC_DeleteFile('c:\windows\system32\printer.exe');
DeleteFile('c:\windows\system32\printer.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\MoloT\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
И пришлите содержимое карантина по правилам

Выполнил скрипт
но все равно не получается создать лог [FONT=Verdana][B][I]virusinfo_syscure.zip[/I][/B][/FONT]
[FONT=Verdana][SIZE=2]компьютер внезапно перезагружается в процессе выполнения процедуры.[/SIZE][/FONT]
[FONT=Verdana][SIZE=2]Высылаю логи.[/SIZE][/FONT]
[FONT=Verdana][SIZE=2]Жду ответа, Спасибо.[/SIZE][/FONT]

1. Скачайте программу WinSockXPFix:
[url]http://www.tacktech.com/pub/winsockfix/WinsockFix.zip[/url]

2. Пофиксите в hijackThis:
[code]
O20 - AppInit_DLLs: sulimo.dat
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\AVSystemCare\bm.exe','');
QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
QuarantineFile('sulimo.dat','');
QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Qolf46.sys','');
QuarantineFile('C:\WINDOWS\system32\t3.dll','');
DeleteFile('C:\WINDOWS\system32\t3.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Qolf46.sys');
DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
DeleteFile('sulimo.dat');
DeleteFile('C:\WINDOWS\system32\vtr.dll');
DelSPIByFileName('t3.dll',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. После скрипта может нарушится работа сетевых подключений. Для восстановления выполните в AVZ Файл - Восстановление системы - п.14 - Выполнить, перезагрузиться.
Если не поможет - используйте скачанную программу, предварительно записав сетевые настройки (она их сбрасывает).
Также могут быть сильные тормоза при запуске системы, ничего страшного, от этого тоже вылечит WinSockFix.

[size="1"][color="#666686"][B][I]Добавлено через 54 секунды[/I][/B][/color][/size]

5. Пришлите все содержимое карантина согласно приложению 3 правил.

6. Сделайте новые логи.

Окно "Windows Security Alert" больше не выскакивает.
До сих пор не могу войти в свойства рабочего стола,
панель управления: "Операция отменена в следствие действующих
для компьютера ограничений. Обратитесь к администратору сети".
Все сделал, но при выполнении скрипта комп перезагрузился, не выведя окно скрипт выполнен.
Подозреваю файл [B]WinAvXX.exe[/B].
Такая же штука случилась и в п. 8 правил, т.е.
не могу создать лог [B][I]virusinfo_syscure.zip.[/I][/B]
Высылаю логи.
Жду ответа, Спасибо.

При выполнении п. 8 правил комп начинает перезагрузку после
надписи в протоколе "Найдено процедур: 39".

Карантин посылать пробовали?
Ничего к нам не приходило. :(

В защищ. режиме, отключив а/вирус.
Профиксить:
[CODE]O4 - HKLM\..\Run: [Winmplayer] "C:\WINDOWS\system32\KB_963491.exe"
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
O4 - HKLM\..\Run: [rtasks] C:\Program Files\AVSystemCare\rtasks.exe
[/CODE]
в AVZ файл -- восст. системы -- п.6,8,11,17 отметить и выполнить.

Выполнить скрипт Bratez из №4

Не могу отключить востановление системы.
У меня нет прав: "Операция отменена в следствие действующих
для компьютера ограничений. Обратитесь к администратору сети".
Далее приступаю к выполнению пункта 8 правил.
Меня выкидывает из системы. Идет перезагрузка. После того как
Windows загрузился выскакивает окно Система востановлена после серьезной ошибки. Затем выполняю следующие два пункта.
Высылаю логи.
Жду ответа.

Спасибо, доступ к свойствам открыл через AVZ п.6,8,11,17.
Отключил восстановление системы.
Но при выполнении скрипта Bratez комп перезагружается.
Так же перезагружется и при выполнении п. 8 правил.
Высылаю логи.
Спасибо, жду ответа.

Карантин надо загрузить через [url]http://virusinfo.info/upload_virus.php?tid=13455[/url]

Попробуй выполнить п.8 в защищ режиме.
Сделай лог [url]http://virusinfo.info/showthread.php?t=10387[/url] там же.

Я отправил карантин.
Как войти в защищ режим.

[QUOTE=MoloT;144579]Я отправил карантин.
Как войти в защищ режим.[/QUOTE]

защищ режим - Safe Mode.
При загрузке давить F8.

после скриптов он и должен перезагружаться.

в карантин попало очень мало файлов. нужны файлы из сообщения №8.
Искать через AVZ и добавлять в карантин.

Спасибо, сейчас попробую.

C:\WINDOWS\system32\t3.dll - Trojan.Proxy.2355(Др.Веб), Касперский не знает.
C:\WINDOWS\system32\vtr.dll - Trojan Horse(Симантек)

[B]Запомнить настройки сети. Скачать, если еще не скачали winsockxpfix.[/B]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\t3.dll');
BC_DeleteFile('C:\WINDOWS\system32\t3.dll');
DeleteFile('C:\WINDOWS\system32\vtr.dll');
BC_DeleteFile('C:\WINDOWS\system32\vtr.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки запустить winsockxpfix. Затем снова настроить сеть.

Спасибо я выполнил п. 8 защищ режиме.
Высылаю логи.
У меня NOD32.
Жду ответа.

Выполни скрипт из №15. Прочти внимательно указания перед ним.

Про вирус я написал о том, кто его знает на virustotal.com

Спасибо. Скрипт сделал.
Высылаю логи.

Не получается прикрепить 1-й лог.
Попробую создать его заново.
На virustotal.com мне надо отправить virus.zip?

Профиксить:
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Не надо ничего отправлять на вирустотал. Можно при желании послать на newvirus:at:kaspersky.com

Профиксил.
Спасибо.
Отправляю логи.

Похоже логи АВЗ старые.
Выполнить:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Qolf46.sys','');
DeleteFile('Qolf46.sys');
BC_DeleteFile('Qolf46.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин.

Сделать [B]новые[/B] логи.

Опять все живы.

Выполните скрипт:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Qolf46', 'Start');
RebootWindows(true);
end.[/code]
После перезагрузки второй:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\Qolf46.sys');
DeleteFile('C:\WINDOWS\system32\t3.dll');
DeleteFile('C:\WINDOWS\system32\vtr.dll');
DelSPIByFileName('t3.dll',true);
BC_ImportALL;
BC_DeleteSvc('Qolf46');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Далее запускайте WinSockFix, нажимайте кнопку Fix.
После перезагрузки сделайте новые логи.

Спасибо.;)
Я выполнил два скрипта высылаю логи.
Жду ответа.

Убийство прошло успешно.

Закрываем дырки:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

и выписываемся. В смысле, лечение будет закончено.

Большой [B]респект[/B];) и огромное [B]СПАСИБО[/B]!:D

Высылаю карантин.
Обнаружен монитор какой-то.

Это в System Restore. Можно отключить "Восст. системы" и это удалитьсся навсегда.
Потом после перезагрузки можно снова включить.

Да, еще вот что. Надо будет почистить папку "Quarantine" у AVZ, а то антивирус может на нее ругаться.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\t3.dll - [B]Trojan-Proxy.Win32.Agent.ql[/B] (DrWEB: Trojan.Proxy.2355)[*] c:\\windows\\system32\\vtr.dll - [B]Hoax.Win32.Renos.lq[/B] (DrWEB: Trojan.Fakealert.357)[*] \\t3.dll - [B]Trojan-Downloader.Win32.Agent.dth[/B] (DrWEB: Trojan.Sespy)[/LIST][/LIST]