-
Junior Member
- Вес репутации
- 60
Блокировка настроек windows + попытка убедить меня скачать никий антивирус из интернета
Добрый день!
Ситуация в следующем, пару дней назад, при включении компьютера, обнаружил, что картинка рабочего стола изменилась на монотонный синий фон. Решил проверить настройки рабочего стола, при попытке запустить "Свойства" появилось окно с сообщением "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети." (и так с любыми настройками windows), так же из панели пуск пропала "панель управления" и "Выполнить...". Так же постоянно каждые 10 мин (ориентировочно) начало спамить окошко с сообщением якобы от микрософта, приблизительный смысл: "у вас найдены вирусы, скачайте себе спец антивирус софт" и варианты "да", "нет". AVZ был заблокирован, его удалось запустить только путём переноса в другую папку и смены имени экзешника. В результате после проверки компьютера Dr.Web сканом и AVZ, был удалён ряд файлов опознанных, как трояны. Окошко с предложением скачать "супер софт" больше не появлялось, но допуска к настройкам ОС я так и не имею.. да и ещё синий фон рабочего стола сменился на такой же фон, только с угрожающей надписью "Warning! Spyware detected on your computer! Install an antivirus or psyware remover to clean your computer."
Dr.Web и AVZ вирусов не находят.
Прошу по возможности помочь искоренить вредителя.
С уважением, Круглов Сергей.
Последний раз редактировалось skat; 11.08.2008 в 18:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('C:\WINDOWS\system32\winknt.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('c:\windows\system32\ctfmona.exe','');
DeleteFile('c:\windows\system32\ctfmona.exe');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\system32\winload.dll');
BC_ImportALL;
BC_DeleteSvc('Adiau3wss');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Maxim
Загрузите карантин согласно приложению №3 правил.
загрузил.
Сообщение от
Maxim
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
пофиксил.
Забыл сообщить. В связи с невозможностью пользоваться настройками, не смог отключить "Восстановление системы".
-
А где логи? winknt.exe Вам знаком?
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось skat; 11.08.2008 в 18:45.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\winknt.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Maxim
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\winknt.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Загрузил.. надеюсь то, что надо. У меня файлы карантина в avz в списке добавляются с каждым разом, надо присылать те, которые прописаны в данном скрипте? или я не правильно понял..
Последний раз редактировалось skat; 11.08.2008 в 18:45.
-
Junior Member
- Вес репутации
- 60
Доступ к настройкам появился.
-
Вы пользовались утилитой gmer?
Отключите восстановление системы и антивирус!
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Maxim
Вы пользовались утилитой gmer?
С момента появленияя этого вируса нет. Раньше - да.
Сообщение от
Maxim
Отключите восстановление системы и антивирус!
Восстановление отключил. Антивирус закрыл из списка процессов Диспетчера задач.
Сообщение от
Maxim
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи.
Скрипт выполнил. При перезагрузке компьютер завис. Перезагрузился хард резетом. Дальнейших сбоев не наблюдается.
Последний раз редактировалось skat; 11.08.2008 в 18:45.
-
в логах не видно ничего зловредного ... какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 60
Нет, доступ к настройкам открылся, все исчезнувшие функции тоже.
Огромное Вам спасибо!
-
Что из этого не нужно?
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
Junior Member
- Вес репутации
- 60
Как раз хотел спросить, т.к. не разбираюсь в функциях служб совсем.
У меня дома 2 компьютера через роутер подключены к локальной сети.
Если эти службы не являются необходимыми для корректной работы данного подключения, то попросил бы их закрыть. Лично я никак удалённо компьютер не использую.
-
-
-
Junior Member
- Вес репутации
- 60
да, для обмена файлами между домашними компьютерами.
-
Тогда так
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
-
-
Junior Member
- Вес репутации
- 60
Выполнил.
Максим, ещё раз, огромное Вам спасибо!