Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Windows Security Alert (заявка № 13455)

  1. #1
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38

    Thumbs up Windows Security Alert

    Добрый день,
    проблема такова:
    Каждые 5 минут выскакивает окно:
    "Windows Security Alert
    Warning! Potential Spyware Operation!
    Your computer is making unauthorized copies of your system and
    Internet files. Run full scan now to pervent any unathorised acces
    to your files! Click YES to download spyware remover ..."
    и варианты ответов Да и Нет.
    Не удается зайти: в панель управления, в свойства рабочего стола...
    Не удается выполнить 8 пункт правил, после запуска этой процедуры
    компьютер начинает перезагрузку.
    Отправляю некоторые логи.
    Жду Вашего ответа, Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387
    Для начала выполните скрипт:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\t3.dll','');
     QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
     QuarantineFile('sulimo.dat','');
     QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
     QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
     QuarantineFile('C:\Documents and Settings\MoloT\Главное меню\Программы\Автозагрузка\system.exe','');
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe','');
     QuarantineFile('c:\windows\system32\printer.exe','');
     BC_DeleteFile('c:\windows\system32\printer.exe');
     DeleteFile('c:\windows\system32\printer.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\MoloT\Главное меню\Программы\Автозагрузка\system.exe');
     DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    И пришлите содержимое карантина по правилам

  4. #3
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Выполнил скрипт
    но все равно не получается создать лог virusinfo_syscure.zip
    компьютер внезапно перезагружается в процессе выполнения процедуры.
    Высылаю логи.
    Жду ответа, Спасибо.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Скачайте программу WinSockXPFix:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip

    2. Пофиксите в hijackThis:
    Код:
    O20 - AppInit_DLLs: sulimo.dat
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Common Files\AVSystemCare\bm.exe','');
     QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
     QuarantineFile('sulimo.dat','');
     QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Qolf46.sys','');
     QuarantineFile('C:\WINDOWS\system32\t3.dll','');
     DeleteFile('C:\WINDOWS\system32\t3.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\Qolf46.sys');
     DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
     DeleteFile('sulimo.dat');
     DeleteFile('C:\WINDOWS\system32\vtr.dll');
    DelSPIByFileName('t3.dll',true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. После скрипта может нарушится работа сетевых подключений. Для восстановления выполните в AVZ Файл - Восстановление системы - п.14 - Выполнить, перезагрузиться.
    Если не поможет - используйте скачанную программу, предварительно записав сетевые настройки (она их сбрасывает).
    Также могут быть сильные тормоза при запуске системы, ничего страшного, от этого тоже вылечит WinSockFix.

    Добавлено через 54 секунды

    5. Пришлите все содержимое карантина согласно приложению 3 правил.

    6. Сделайте новые логи.
    Последний раз редактировалось Bratez; 23.10.2007 в 15:18. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Окно "Windows Security Alert" больше не выскакивает.
    До сих пор не могу войти в свойства рабочего стола,
    панель управления: "Операция отменена в следствие действующих
    для компьютера ограничений. Обратитесь к администратору сети".
    Все сделал, но при выполнении скрипта комп перезагрузился, не выведя окно скрипт выполнен.
    Подозреваю файл WinAvXX.exe.
    Такая же штука случилась и в п. 8 правил, т.е.
    не могу создать лог virusinfo_syscure.zip.
    Высылаю логи.
    Жду ответа, Спасибо.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    При выполнении п. 8 правил комп начинает перезагрузку после
    надписи в протоколе "Найдено процедур: 39".

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Карантин посылать пробовали?
    Ничего к нам не приходило.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    В защищ. режиме, отключив а/вирус.
    Профиксить:
    Код:
    O4 - HKLM\..\Run: [Winmplayer] "C:\WINDOWS\system32\KB_963491.exe"
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
    O4 - HKLM\..\Run: [rtasks] C:\Program Files\AVSystemCare\rtasks.exe
    в AVZ файл -- восст. системы -- п.6,8,11,17 отметить и выполнить.

    Выполнить скрипт Bratez из №4
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Не могу отключить востановление системы.
    У меня нет прав: "Операция отменена в следствие действующих
    для компьютера ограничений. Обратитесь к администратору сети".
    Далее приступаю к выполнению пункта 8 правил.
    Меня выкидывает из системы. Идет перезагрузка. После того как
    Windows загрузился выскакивает окно Система востановлена после серьезной ошибки. Затем выполняю следующие два пункта.
    Высылаю логи.
    Жду ответа.
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Спасибо, доступ к свойствам открыл через AVZ п.6,8,11,17.
    Отключил восстановление системы.
    Но при выполнении скрипта Bratez комп перезагружается.
    Так же перезагружется и при выполнении п. 8 правил.
    Высылаю логи.
    Спасибо, жду ответа.
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Карантин надо загрузить через http://virusinfo.info/upload_virus.php?tid=13455

    Попробуй выполнить п.8 в защищ режиме.
    Сделай лог http://virusinfo.info/showthread.php?t=10387 там же.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Я отправил карантин.
    Как войти в защищ режим.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от MoloT Посмотреть сообщение
    Я отправил карантин.
    Как войти в защищ режим.
    защищ режим - Safe Mode.
    При загрузке давить F8.

    после скриптов он и должен перезагружаться.

    в карантин попало очень мало файлов. нужны файлы из сообщения №8.
    Искать через AVZ и добавлять в карантин.
    Последний раз редактировалось PavelA; 24.10.2007 в 12:20.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Спасибо, сейчас попробую.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    C:\WINDOWS\system32\t3.dll - Trojan.Proxy.2355(Др.Веб), Касперский не знает.
    C:\WINDOWS\system32\vtr.dll - Trojan Horse(Симантек)

    Запомнить настройки сети. Скачать, если еще не скачали winsockxpfix.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\t3.dll');
     BC_DeleteFile('C:\WINDOWS\system32\t3.dll');
     DeleteFile('C:\WINDOWS\system32\vtr.dll');
     BC_DeleteFile('C:\WINDOWS\system32\vtr.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки запустить winsockxpfix. Затем снова настроить сеть.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Спасибо я выполнил п. 8 защищ режиме.
    Высылаю логи.
    У меня NOD32.
    Жду ответа.
    Вложения Вложения

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Выполни скрипт из №15. Прочти внимательно указания перед ним.

    Про вирус я написал о том, кто его знает на virustotal.com
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Спасибо. Скрипт сделал.
    Высылаю логи.
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Россия, Воскресенск
    Сообщений
    14
    Вес репутации
    38
    Не получается прикрепить 1-й лог.
    Попробую создать его заново.
    На virustotal.com мне надо отправить virus.zip?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Профиксить:
    O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)

    Добавлено через 3 минуты

    Не надо ничего отправлять на вирустотал. Можно при желании послать на newviruskaspersky.com
    Последний раз редактировалось PavelA; 24.10.2007 в 14:06. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) MoloT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. windows security alert
      От scania в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.12.2010, 09:11
    2. Windows security alert
      От Викта в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.10.2009, 20:01
    3. windows security alert
      От Navator в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 14.10.2009, 12:42
    4. Windows Security Alert
      От Nikko_81 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 13.10.2009, 19:31
    5. Windows Security Alert
      От Maxajmus в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00854 seconds with 17 queries