-
Junior Member
- Вес репутации
- 56
Окна "Автономная работа" "Запуск от имени другого пользователя"
Здравствуйте!
На компьютере (ОС - Win SP3)т ри пользовательских профиля (два с ограниченными правами), один - с правами администратора.
На одном из пользовательских профилей (с ограниченными правами) через несколько секунд после входа появляется окно "Автономная работа", которое предлагает включить автономный режим или осуществить попытку подключения к Интернету.
Затем, после начала работы с какой-нибудь программой появляется окно "Запуск от имени другого пользователя", которое предлагает выбрать "Чью учетную запись использовать для запуска этой программы".
Вот они : Вложение 356806
Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) pus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\17.tmp','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Recycle.Bin\B6232F3A956.exe','');
QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
DeleteFile('C:\Recycle.Bin\B6232F3A956.exe');
DeleteFile('C:\WINDOWS\system32\17.tmp');
RegKeyParamDel('HKEY_USERS','S-1-5-21-725345543-484763869-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Run','4Y3Y0C3AYF7XZE6ESGWM');
RegKeyParamDel('HKEY_USERS','S-1-5-21-725345543-484763869-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Run','Windows Debugger 32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-725345543-484763869-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
-
-
файл G:\autorun.inf вам знаком?
-
-
Junior Member
- Вес репутации
- 56
Скрипты выполнил.
Файл quarantine.zip сохранён как 120322_190048_2012-03-22_4f6b76e0e2017.zip
Размер файла 542708
MD5 23c0fb48eaecf31c1f09c477cb83838c
Повторные логи virusinfo_syscheck.zip, hijackthis.log и лог MBAM прилагаются ниже.
(Во время сканирования MBAM появилось окно, спрашивающее об автономной работе.)
Выполнил "Скрипт сбора неопознанных и подозрительных файлов". Результат загрузки:
Файл сохранён как 120322_214104_2012-03-23_4f6b9c703fb81.zip
Размер файла 9011315
MD5 bcb556ed36264eae1309bd38bee3b279
-
Junior Member
- Вес репутации
- 56
файл G:\autorun.inf мне не знаком
Что-то нужно сделать с этим?
Последний раз редактировалось pus; 23.03.2012 в 20:12.
-
Удалите в MBAM всё кроме
Код:
Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|ANTIVIRUSDISABLENOTIFY (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UPDATESDISABLENOTIFY (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Папку C:\g4fweq23.Bi и файл G:\autorun.inf удалите вручную.
Сделайте новый лог сканирования MBAM.
Сделайте логи RSIT.
смените все пароли !
-
-
Junior Member
- Вес репутации
- 56
Всё сделано. Файлы прилагаются.
А пароли от провайдера тоже менять?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycle.bin\\b6232f3a956.exe - Trojan-Spy.Win32.SpyEyes.aefh ( DrWEB: Trojan.Carberp.303, BitDefender: Trojan.Generic.KDV.564493, AVAST4: Win32:Spyeye-ACO [Trj] )
- c:\\windows\\system32\\machineupdate32.exe - Trojan.Win32.Menti.mmhs ( DrWEB: Trojan.PWS.Turist.1, BitDefender: Trojan.Generic.7426703, AVAST4: Win32:SmokeLdr-E [Trj] )
- c:\\windows\\system32\\17.tmp - Trojan-Ransom.Win32.Cidox.ego ( DrWEB: Trojan.Mayachok.1, BitDefender: Trojan.Generic.KDV.567952, AVAST4: Win32:MalOb-JZ [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-