Вернуться   Компьютерный форум > Компьютеры > Операционные системы > Windows XP
 
 
Опции темы
Старый 16.06.2009, 09:56   #1 (ссылка)
Новичок
 
Аватар для klownada
 
Регистрация: 19.05.2009
Сообщений: 171
Репутация: 1
Exclamation Начало вылезать оповещение системы безопасности

Сегодня на чужой флешке нашел 3 вируса, не запомнил их названия к сожалению.... Нортон нашел их и удалил, потом предложил перезагрузить комп. Ну я перезагрузил. И рядом с часами появился красный значок (Оповещение системы безопасности виндовс) Я отключил автоматические обновления т.к. у меня ХР пиратка, вот...... И в диспетчере задач появился процесс wscntfy.exe Отчего все это вылезло?
klownada вне форума  
Старый 16.06.2009, 10:33   #2 (ссылка)
Знаток
 
Аватар для winshelp
 
Регистрация: 20.10.2008
Сообщений: 2,863
Записей в блоге: 2
Репутация: 164
По умолчанию

Вот что накопал по этому поводу.
---
W32/Spelit-A

Тип: Червь

Операционная система: Windows
-
Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем wscntfy.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Security Alert = %System%\wscntfy.exe

Также создает в реестре следующие ключи:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
VersionNumber
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters\Winsock
TcpNumConnections

Встраивает свой код в драйвер TCPIP.SYS.

ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие
Червь для платформы Windows. Распостраняется посредством рассылки своих копий по электронной почте по адресам, найденным на захваченном компьютере. Открывает "чёрный ход" через IRC, предоставляя атакующему контроль над системой. Ослабляет настройки безопасности системы.
winshelp вне форума  
Старый 16.06.2009, 10:50   #3 (ссылка)
Специалист
 
Аватар для set of letters
 
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
По умолчанию

Цитата:
Сообщение от klownada Посмотреть сообщение
Я отключил автоматические обновления т.к. у меня ХР пиратка, вот...... И в диспетчере задач появился процесс wscntfy.exe Отчего все это вылезло?
wscntfy.exe является Windows Security Center, введенная в Windows XP Service Pack 2. Он отображает на панели задач с указанием статуса обновлений Windows, защита от вирусов, а также межсетевой экран. wscntfy.exe файл находится в папке C: \ Windows \ System32. В других случаях, wscntfy.exe является вирус, программ-шпионов, троянских или червя!
Обновления отключили
set of letters вне форума  
Старый 16.06.2009, 10:54   #4 (ссылка)
Новичок
 
Аватар для klownada
 
Регистрация: 19.05.2009
Сообщений: 171
Репутация: 1
По умолчанию

Цитата:
Сообщение от winshelp Посмотреть сообщение
Вот что накопал по этому поводу.
---
W32/Spelit-A

Тип: Червь

Операционная система: Windows
-
Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем wscntfy.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Security Alert = %System%\wscntfy.exe

Также создает в реестре следующие ключи:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
VersionNumber
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters\Winsock
TcpNumConnections

Встраивает свой код в драйвер TCPIP.SYS.

ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие
Червь для платформы Windows. Распостраняется посредством рассылки своих копий по электронной почте по адресам, найденным на захваченном компьютере. Открывает "чёрный ход" через IRC, предоставляя атакующему контроль над системой. Ослабляет настройки безопасности системы.
У меня этого ничего нет ((((( и вирусов больше не нашел..... а как вобще эту службу отключить?

---------- Добавлено в 09:55 ---------- Предыдущее сообщение было написано в 09:54 ----------

Цитата:
Сообщение от interesnovse- Посмотреть сообщение
wscntfy.exe является Windows Security Center, введенная в Windows XP Service Pack 2. Он отображает на панели задач с указанием статуса обновлений Windows, защита от вирусов, а также межсетевой экран. wscntfy.exe файл находится в папке C: \ Windows \ System32. В других случаях, wscntfy.exe является вирус, программ-шпионов, троянских или червя!
Обновления отключили
Да я отключил автоматические обновления, но все равно оповещение вылезает
klownada вне форума  
Старый 16.06.2009, 11:17   #5 (ссылка)
Специалист
 
Аватар для set of letters
 
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
По умолчанию

Цитата:
Сообщение от klownada Посмотреть сообщение
отключил автоматические обновления, но все равно оповещение вылезает
Потому и вылезает....

Цитата:
Сообщение от klownada Посмотреть сообщение
как вобще эту службу отключить?
Панель управления» → «Администрирование → «Службы»

P.S.
wscntfy.exe - это служба оповещений Центра обеспечения безопасности в Windows XP SP2.
Попытки его убрать закрытием процесса - безуспешны.

В трее по умолчанию отображается иконка центра обеспечения безопасности, вернее она отображается при выключенных брандмауэре, антивирусе и автоматическом обновлении системы.
По сути вам достаточно в
Панели управления - Центр обеспечения безопасности - Изменить способ оповещения Центром обеспечения безопасности - убрать ненужные вам подсказки.


Если не поможет, то ,возможно, вредоносным трояном повреждены ветки реестра
set of letters вне форума  
Старый 16.06.2009, 12:28   #6 (ссылка)
Стажёр
 
Аватар для Denesis
 
Регистрация: 06.12.2008
Сообщений: 6,847
Записей в блоге: 1
Репутация: 139
По умолчанию

klownada, давайте сделаем это и проверим Вас на вирусы: http://pchelpforum.ru/f26/t6442/
Denesis вне форума  
Старый 16.06.2009, 20:32   #7 (ссылка)
Новичок
 
Аватар для klownada
 
Регистрация: 19.05.2009
Сообщений: 171
Репутация: 1
По умолчанию

Цитата:
Сообщение от Denesis Посмотреть сообщение
klownada, давайте сделаем это и проверим Вас на вирусы: http://pchelpforum.ru/f26/t6442/
вот тут http://exfile.ru/46917 че потом делать?

и еще это вот http://exfile.ru/46921

Последний раз редактировалось klownada; 16.06.2009 в 20:46.
klownada вне форума  
Старый 17.06.2009, 00:11   #8 (ссылка)
Стажёр
 
Аватар для Denesis
 
Регистрация: 06.12.2008
Сообщений: 6,847
Записей в блоге: 1
Репутация: 139
По умолчанию

klownada,выполните это в AVZ. Файл-Выполнить скрипт. Вставьте этот код и нажмите запустить.
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\regguard.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Partizan.sys','');
 StopService('Partizan');
 SetServiceStart('RemoveAny', 4);
 StopService('RemoveAny');
 SetServiceStart('PnkBstrB', 4);
 SetServiceStart('PnkBstrA', 4);
 StopService('PnkBstrB');
 StopService('PnkBstrA');
 QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
 QuarantineFile('c:\windows\system32\pnkbstrb.exe','');
 QuarantineFile('c:\windows\system32\pnkbstra.exe','');
 BC_DeleteFile('spyf.sys');
 BC_DeleteFile('SYMEFA.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-1335419731-4506730176-987378529-1901\winmap32.exe');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\SYMEVENT.SYS');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


---------- Добавлено в 22:12 ---------- Предыдущее сообщение было написано в 22:11 ----------

После перезагрузки выполните скрипт №2 еще раз.
Denesis вне форума  
Ads
Старый 17.06.2009, 00:17   #9 (ссылка)
Новичок
 
Аватар для klownada
 
Регистрация: 19.05.2009
Сообщений: 171
Репутация: 1
По умолчанию

Цитата:
Сообщение от Denesis Посмотреть сообщение
klownada,выполните это в AVZ. Файл-Выполнить скрипт. Вставьте этот код и нажмите запустить.
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\regguard.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Partizan.sys','');
 StopService('Partizan');
 SetServiceStart('RemoveAny', 4);
 StopService('RemoveAny');
 SetServiceStart('PnkBstrB', 4);
 SetServiceStart('PnkBstrA', 4);
 StopService('PnkBstrB');
 StopService('PnkBstrA');
 QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
 QuarantineFile('c:\windows\system32\pnkbstrb.exe','');
 QuarantineFile('c:\windows\system32\pnkbstra.exe','');
 BC_DeleteFile('spyf.sys');
 BC_DeleteFile('SYMEFA.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-1335419731-4506730176-987378529-1901\winmap32.exe');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\SYMEVENT.SYS');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


---------- Добавлено в 22:12 ---------- Предыдущее сообщение было написано в 22:11 ----------

После перезагрузки выполните скрипт №2 еще раз.
после скрипта №2 снова так же все выложить в тему?
klownada вне форума  
Старый 17.06.2009, 00:21   #10 (ссылка)
Стажёр
 
Аватар для Denesis
 
Регистрация: 06.12.2008
Сообщений: 6,847
Записей в блоге: 1
Репутация: 139
По умолчанию

Да. Конечно.
Denesis вне форума  
Старый 17.06.2009, 00:31   #11 (ссылка)
Новичок
 
Аватар для klownada
 
Регистрация: 19.05.2009
Сообщений: 171
Репутация: 1
По умолчанию

Цитата:
Сообщение от Denesis Посмотреть сообщение
Да. Конечно.
А где там вирусы? Кстати у меня после этого антивирусник пропал!!!
klownada вне форума  
Старый 17.06.2009, 00:36   #12 (ссылка)
Специалист
 
Аватар для set of letters
 
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
По умолчанию

У Вас урожай знатный, klownada . Штучки плохие и вредные AVZ нашел. Только куда делся антивирусник про это не знаю
set of letters вне форума  
Старый 17.06.2009, 00:38   #13 (ссылка)
Стажёр
 
Аватар для Denesis
 
Регистрация: 06.12.2008
Сообщений: 6,847
Записей в блоге: 1
Репутация: 139
По умолчанию

removeany - это он?
Denesis вне форума  
Старый 17.06.2009, 01:33   #14 (ссылка)
Новичок
 
Аватар для klownada
 
Регистрация: 19.05.2009
Сообщений: 171
Репутация: 1
По умолчанию

Цитата:
Сообщение от Denesis Посмотреть сообщение
removeany - это он?
нет был нортон. а что там за вирусы нашлись?
klownada вне форума  
Старый 17.06.2009, 01:41   #15 (ссылка)
Стажёр
 
Аватар для Denesis
 
Регистрация: 06.12.2008
Сообщений: 6,847
Записей в блоге: 1
Репутация: 139
По умолчанию

klownada, я Вам очень посоветую NOD32. Norton лицензионный?
Denesis вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Очень качественные советы по безопасности EPA584999 Реклама, объявления 0 09.01.2011 20:59
Код безопасности. stalkerFAN Интернет и сети 2 30.12.2010 20:18
Звуковое оповещение SAWR136 Железо 4 27.09.2010 20:03
оповещение системы безопасности что это? рыбоед Безопасность 23 07.09.2010 21:17
Поиграл несколько секунд изображение остановилось и начало искажаться 1992fast Неисправности, настройка 16 16.03.2010 17:30
Ошибка - параметры безопасности es5222 Windows Vista 11 16.02.2010 11:29
Оповещение Resident Shield disain-m Безопасность 6 11.02.2010 06:58
Оповещение Resident Shield klari Безопасность 16 07.02.2010 16:45
Антивирус почистил два файла, после чего при загрузке начало выдавать ошибку IShotCyrus Windows XP 18 19.12.2009 03:24
Вылетело и начало не работать Madara Игры 3 13.11.2009 00:53
изъян в системе безопасности Sammy Интернет и сети 10 24.10.2009 19:11


Текущее время: 20:05. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.