Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 44.

Лишение прав администратора, "windows security alert" (заявка № 15997)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39

    Exclamation Лишение прав администратора, "windows security alert"

    Всего 3 дня не было, уже намудрили с переустановленной системой. Во-первых постоянно висит желтый треугольник в углу с открытым окном - Windows antivirus.
    Windows has detected spyware infection! и так далее. Пытается послать на некий http://sanitardiska.com. Помимо этого периодически выкидывает окно Windows Security alert, пытается поставить Ultimate Defender. Ad-aware 2007 нашел

    Winlogon shell
    CLSID
    hklm\software\microsoft\windows nt\currentversion\winlogon\shell

    Nod32 ничего не нашел, Agnitum outpost тоже нашел этот winlogon shell, но сделать ничего не смог. В процессах долгое время запускался reg.exe(windows\system32\), причем дублируя себя. Также в фоне работает spoolsv.exe(запускает SYSTEM), shell.exe(от имени текущей учетной записи). Лишился доступа в настройкам, regedit, свойствам Мой Компьютер. Других пользователей не вижу при попытке сменить запись, через total commander нашел такие новые папки в documents and settings:
    Default User, Default user.windows, LocalService, LocalService.NT Authority.000, LocalService.NT Authority, NetworkService и еще две такие же папки с NT.Authority и 000.
    Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 19:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Нужны логи AVZ.
    I am not young enough to know everything...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Скачайте и запустите маленькую утилиту. Всё что красное отметить и нажать 'Remove'. Чтобы выйти из программы, нажать 'Exit'. Потом перезагрузитесь и сделайте заново логи, в том числе логи AVZ.
    Последний раз редактировалось Макcим; 05.01.2008 в 16:34.

  5. #4
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Утилиту запустил, сейчас по новой сделаю логи. Досадно, что без safe mode не работает у меня. / Еще вопрос, у меня есть процесс shovth.exe, который периодически умирает, и говорит об этом, не знаете что это?)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Делайте логи, попробуем исправить.

  7. #6
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Фуф.. Еще 2 синих экрана позади.) Вот логи..
    Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 21:28.

  8. #7
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Проблема с последним логом. Вроде удалось выложить.
    Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 21:28.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Helper\ifastseek.dll','');
     QuarantineFile('C:\windows\trayicons.exe','');
     QuarantineFile('C:\windows\system32\winsos.exe','');
     QuarantineFile('C:\windows\system32\winsn.exe','');
     QuarantineFile('C:\windows\system32\spoolvs.exe','');
     QuarantineFile('C:\windows\system32\printer.exe','');
     QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
     QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\findfast.exe','');
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe','');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\nvoclock.sys','');
     QuarantineFile('C:\WINDOWS\system32\kirjtkkd6c07-221a.sys','');
     QuarantineFile('C:\WINDOWS\system32\kirjtkkd399e-3c12.sys','');
     QuarantineFile('C:\windows\windisk.dll','');
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     QuarantineFile('c:\windows\shell.exe','');
     DeleteFile('c:\windows\shell.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
     DeleteFile('C:\windows\windisk.dll');
     DeleteFile('C:\WINDOWS\system32\kirjtkkd399e-3c12.sys');
     DeleteFile('C:\WINDOWS\system32\kirjtkkd6c07-221a.sys');
     DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\findfast.exe');
     DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
     DeleteFile('C:\WINDOWS\system32\wowfx.dll');
     DeleteFile('C:\windows\system32\printer.exe');
     DeleteFile('C:\windows\system32\spoolvs.exe');
     DeleteFile('C:\windows\system32\winsn.exe');
     DeleteFile('C:\windows\system32\winsos.exe');
     DeleteFile('C:\windows\trayicons.exe');
     DeleteFile('C:\Documents and Settings\Меню\Application Data\trant.exe');
     DeleteFile('C:\autorun.inf');
     BC_ImportALL;
     BC_Activate;
     ExecuteRepair(6);
     ExecuteRepair(16);
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке. Повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Спасибо сейчас сделаю все.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    хороший наборчик ;-)
    вот Qby41.sys ещё поискать - по второму пункту правил. и не забывать перед исполнением скриптов отключать инет , антивирус и фаэрвол.

  12. #11
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Да уж. Я тоже дивлюсь как за 3 дня такое можно устроить. =) 3 лога новые выкладываю, и 2 карантина скидываю по просьбе.
    Пока ничего не изменилось, все по старому, после того как запускал скрипт. Все делал в safe mode, так что вряд ли там хоть что-то лишнее будет)
    Последний раз редактировалось AdeptusArbitres; 06.01.2008 в 02:13.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    1. Отключить восстановление системы.
    2. Обновить базы AVZ
    3. Сделать полную проверку куритом в безопасном режиме, потом в обычном и лишь потом переделать логи.

  14. #13
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Шутки шутками, но каким образом я могу ее выключить если у меня даже на свойства рабочего стола ограничение. /
    Что такое курит? о.О У меня при попытке создать в avz лог не в безопасном режиме а обычном, выкидывает синий экран. /
    Подскажите пожалуйста, а то я пока не пойму что делать.
    Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 21:59.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ExecuteRepair(1);
     ExecuteRepair(5);
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(10);
     ExecuteRepair(11);
     ExecuteRepair(16);
    RebootWindows(false);
    end.
    О курите прочитайте в правилах.

  16. #15
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    С cureit разобрался, когда перечитал название третий раз.) Запустил его сперва в safe mode, потом в обычном, отчего-то он написал что все удалил, но ничего не изменилось. запустил повторно в той же последовательности, теперь исчезли назойливые окна и вся эта дрянь из процессов. Теперь запустить этот скрипт и создать заново логи?

    Добавлено через 11 минут

    Запускаю скрипт, он работает а затем выдает синий экран, пробовал 2 раза. Сейчас запущу из safe mode. По прежнему лишен прав администратора. Что делать?
    Последний раз редактировалось AdeptusArbitres; 05.01.2008 в 23:00. Причина: Добавлено

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    запустите в safe mode ...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Сделайте ещё один лог как написано здесь.

  19. #18
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Из safe mode нормально заработал, ограничения сняты, spyware удалены.)
    Спасибо большое.)
    Зы. Стоит все-таки еще раз делать лог?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Сделайте лог о котором я говорил выше. AVZ по прежнему не работает в нормальном режиме?

  21. #20
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    24
    Вес репутации
    39
    Нет. Не работает в обычном режиме никак.
    Сделал лог. Когда запускал первый стандартный скрипт, в итоге ругался на отсутсвие драйвера avz. Протокол служб сделал.
    Последний раз редактировалось AdeptusArbitres; 06.01.2008 в 13:42.

  • Уважаемый(ая) AdeptusArbitres, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 15
      Последнее сообщение: 14.09.2010, 22:01
    2. Ответов: 10
      Последнее сообщение: 24.05.2010, 14:31
    3. Windows Security Alert или "Карина" или х.з.
      От kANABBIS в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.11.2009, 23:46
    4. Выскакивания окошек "Windows sequrity alert" "Spyware alert"
      От XscorpionX в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:43
    5. "Windows Security Alert"
      От svm в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 02:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00158 seconds with 16 queries