Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Wimdows Security Alert (заявка № 16041)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37

    Exclamation Wimdows Security Alert

    Народ всех с Новым Годом и рождеством грядущим ! Стоял NOD32 регулярно обновляемый и сегодня стала появляться такое предупреждение в маленьком окошке (Windows Security Alert____ Warning! Potential Spyware Operation! Your Computer is making unauthorized copies of your system and Internet files. Run full scan now to prevent any unauthorized access to your files! Click here to download Spyware Remover ... Да/Нет) Нажимаешь да и это фуфло открывает сайт который предлагает слить их якобы антивирь или порно контролирует ваш ПК Весь прикол в том что подобные ресурсы никогда не юзались. А сам NOD при сканировании ссылается на hiberfil.sys, pagefile.sys и ещё каких то 7 неизвестынх вирусов, вдобавок оперативка закрыта для него, хотя может так и надо Подскажите методы очистки, конечно же кроме форматирования диска

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от f-a-u-s-t Посмотреть сообщение
    Народ всех с Новым Годом и рождеством грядущим ! Стоял NOD32 регулярно обновляемый и сегодня стала появляться такое предупреждение в маленьком окошке (Windows Security Alert____ Warning! Potential Spyware Operation! Your Computer is making unauthorized copies of your system and Internet files. Run full scan now to prevent any unauthorized access to your files! Click here to download Spyware Remover ... Да/Нет) Нажимаешь да и это фуфло открывает сайт который предлагает слить их якобы антивирь или порно контролирует ваш ПК Весь прикол в том что подобные ресурсы никогда не юзались. А сам NOD при сканировании ссылается на hiberfil.sys, pagefile.sys и ещё каких то 7 неизвестынх вирусов, вдобавок оперативка закрыта для него, хотя может так и надо Подскажите методы очистки, конечно же кроме форматирования диска
    Выполните Правила.
    ---
    С уважением,
    Borka.

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Выполнить инструкции не могу, т.к. в безопасном да и других любых режимах AVZ и остальные программы не запускаются

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    попробуйте переименовать avz.exe в 1234.com

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    И ещё блокирует NOD32. Выдает такое сообщение (ошибка при связи со службой ядра NOD32). Cureit и Hijacktjis тоже не открываются

  7. #6
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от f-a-u-s-t Посмотреть сообщение
    И ещё блокирует NOD32. Выдает такое сообщение (ошибка при связи со службой ядра NOD32). Cureit и Hijacktjis тоже не открываются
    NOD32 надо ОТКЛЮЧИТЬ - он мешает.
    Далее тщательно выполнить правила! Обязательно отключить Восстановление Системы.

    Paul

  8. #7
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    А по правилам шаг 10 нужно делать в безопасном режиме ? А то речь идёт о перезагрузке после 8го. И при проверке через AVZ где то промелькнуло, что проверяются порты. Кстати не запускается HijackThis (шаг 11) даже когда сливаю переименованный файл (1). А нод всё так же глючит с тем же ядром, процесс заглушить не могу, т.к. alt+ctrl+del (диспетчер задач отключен администратором)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от f-a-u-s-t Посмотреть сообщение
    А по правилам шаг 10 нужно делать в безопасном режиме ?
    нет в обычном ...

  10. #9
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Цитата Сообщение от V_Bond Посмотреть сообщение
    нет в обычном ...

    Дак с Hijack'ом как быть ? Не запускается

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сделайте логи авз ... с ним потом разберемся ...

  12. #11
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Кстати шаги с 1 по 9 я делал в безопасном режиме и там выбирал ДА для отключения восстановления системы. Но если учитывать что это всё нужно сделать в обычном режиме, то отключить восстановление я не могу. Свойства моего компьютера заблокированы ограничениями так же как alt+ctrl+del

  13. #12
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Вот 2 первых лога AVZ. Извиняюсь если я их неправильно запаковал, хотя по идее их пакует сам AVZ.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\medichi2.exe','');
     QuarantineFile('C:\WINDOWS\medichi.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\murka.dat','');
     QuarantineFile('C:\Program Files\Common Files\PagingSYS.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\baselrx32.dll','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\medichi.exe');
     DeleteFile('C:\WINDOWS\medichi2.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Файл карантина в общей сложности заархивированный после выполнения скрипта занимает 1.18метров, а здесь ограничение по размеру. Попробую по частям. Так же у меня так же заблокирована ПАНЕЛЬ УПРАВЛЕНИЯ и свойства рабочего стола
    Последний раз редактировалось drongo; 13.01.2008 в 18:30.

  16. #15
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Всё так по частям тоже не лезет Извиняюсь что не так

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    читать внимательно что просят сделать , придёться братец писать ссылку саму, лентяи пошли

    http://virusinfo.info/upload_virus.php?tid=16041

    по ссылке грузить и резать не надо ,если меньше 20 мегабайт

  18. #17
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    читать внимательно что просят сделать , придёться братец писать ссылку саму, лентяи пошли

    http://virusinfo.info/upload_virus.php?tid=16041
    Спасибо братец По этой ссылке я уже выслал

    Добавлено через 38 минут

    Кстати я и не заметил, но после выполнения этого скрипта в эфире тишина Спасибо ! Надеюсь система излечена хотя бы временно Подскажите чем теперь себя обезопасить ? У провайдера обьявление что этот вирус, червь или троян, путешествует по сетке и кто то если его подцепил, он ссылается на другой комп подсети и вызывает эту ссылку откуда уже идёт заражение.

    p.s. Всё таки флешку безопасно извлечь не могу, опять какие то ограничения для компьютера.
    Последний раз редактировалось f-a-u-s-t; 13.01.2008 в 19:23. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Trojan.Win32.Agent.dqz C:\WINDOWS\medichi2.exe
    not-virus:Hoax.Win32.Renos.aom C:\WINDOWS\medichi.exe
    Trojan-PSW.Win32.Zbot.dk C:\WINDOWS\system32\ntos.exe - меняйте пароли
    Backdoor.Win32.Small.cbo C:\WINDOWS\murka.dat
    Trojan.Win32.Agent.dxa C:\Program Files\Common Files\PagingSYS.dll
    Rootkit.Win32.Agent.sv C:\WINDOWS\System32\Drivers\Beep.SYS
    Trojan.Win32.Agent.dwz C:\WINDOWS\system32\baselrx32.dll

    Выполните сначала:
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2) ;
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := '';
     SL := TStringList.Create;
     SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin 
       SS := SL[i]; 
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin 
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll'); 
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do Begin SSS := SSS + DecHex(Ord(Copy(SS,i,1))); If i <> Length(SS) Then SSS := SSS + ','; end;
      SSS := SSS + ',00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false); 
     end;
    SL.Free; 
    End.
    Затем
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Program Files\Common Files\PagingSYS.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Сделайте повторно логи + приложите SubSystems.log из папки с AVZ

  20. #19
    Junior Member Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    27
    Вес репутации
    37
    Извиняюсь за безтактность, тему упустил. Подскажите пожалуйста как выполнить логи после этих скриптов. Заранее спасибо !

  21. #20

  • Уважаемый(ая) f-a-u-s-t, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Windows Security Alert
      От Sanek7777 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.11.2009, 22:20
    2. Windows Security Alert
      От Daroff в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.10.2009, 18:25
    3. Windows Security Alert
      От Айрат09 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.10.2009, 14:10
    4. Windows Security Alert
      От Nikko_81 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 13.10.2009, 19:31
    5. Windows Security Alert - что это?
      От Taso в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.10.2009, 19:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01242 seconds with 17 queries