-
Junior Member
- Вес репутации
- 54
windows security alert
Здравствуйте!
После перезагрузки компьютера вылезло окно иммитирующее windows security alert, с просьбой отправит СМС для разблокировки windows на номер 3649
Доступа к рабочему столу (и вообще к чему-либо другому) нет, поэтому вс действия производились в безопасном режиме
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\iexplorer72.exe','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\Installer\{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}\Skype.ico','');
QuarantineFile('C:\Program Files\IETester\IETester.exe','');
DeleteFile('C:\WINDOWS\Installer\{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}\Skype.ico');
DeleteFile('C:\WINDOWS\ctfmon.exe');
DeleteFile('C:\WINDOWS\iexplorer72.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил. Попробуйте сделать логи в нормальном режиме.
-
-
Junior Member
- Вес репутации
- 54
спасибо! скрипт помог, получилось загрузиться в нормальном режиме
карантин загружен, логи сделала в нормальном режиме и прикрепила
п.с. я смотрю в скрипте в карантин поставлен иеТестер - он нужен мне для работы. он случайно туда попал или он несёт в себе вредоносный код? =)
-
Файл HOSTS Вы сами правили?
В логах всё нормально.
Проведите пожалуйста процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519
IETester попал в карантин как неизвестное мне приложение. Он чистый.
-
-
Junior Member
- Вес репутации
- 54
hosts правил denver (веб-сервер), но он вносил только записи типа - 127.0.0.1, чьи записи - 127.0.0.2, не знаю.
процедуру провела.
-
Если мешают можете удалить, деструктива они не несут, так что решать Вам.
-
-
Junior Member
- Вес репутации
- 54
в сообщении http://virusinfo.info/showpost.php?p...postcount=3332 сказали -
"Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\WINDOWS\iexplorer72.exe: HEUR:Trojan.Win32.Generic
C:\WINDOWS\ctfmon.exe: Trojan-Ransom.Win32.SMSer.mc
Для детального обследования и лечения рекомендуется обратиться в раздел Помогите"
я же правильно понимаю что эти файлы были помещены в карантин, а потом удалены скриптом выше. и они просто попали в архив вместе со вновь собраной информацией?
-
Сообщение от
vivienna
я же правильно понимаю что эти файлы были помещены в карантин, а потом удалены скриптом выше. и они просто попали в архив вместе со вновь собраной информацией?
Да, в логах их нет. Если хотите, сделайте свежий лог virusinfo_syscheck.zip для перестраховки.
-
-
Junior Member
- Вес репутации
- 54
-
Всё нормально, можете сами убедиться (открыть лог в браузере и поискать "iexplorer72.exe" или "ctfmon.exe").
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.SMSer.mc ( DrWEB: Trojan.Winlock.302, BitDefender: Trojan.Generic.2523146, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )
- c:\windows\iexplorer72.exe - Worm.Win32.AutoRun.gwc ( DrWEB: BackDoor.IRC.Letmein.13 )
-