-
Junior Member
- Вес репутации
- 53
Обнаружена нелицензионная версия Windows.
При загрузке компьютер блокируется сообщением о нелицензионной версии видовс и просьбе отправить смс... Компьютер работает только в безопасном режиме. Перепробовал несколько утилит (в т.ч. CureIt)... Удалось даже загрузить комп в обычном режиме, который проработал полчаса нормально, потом опять вылезло это окно и винда соотв. блокнулась.
Насколько я понял в моем случае трабла в файле:
"C:\RECYCLER\S-1-5-21-0930920421-2171050353-638212878-1153\dllrun32.exe"
Сам файл удалить проблематично, но с помощью некоторых прог удается, но после перезагрузки он опять всплывает.
Имеется два ключа в реестре на этот файл:
1. HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon - Taskman
2. HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Winlogon - Shell
Ключи не удаляются.
Заранее спасибо!
Последний раз редактировалось el.regent; 14.10.2009 в 23:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уберите вложение virusinfo_cure.zip из Вашего поста!
1. Отключите системное восстановление
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0930920421-2171050353-638212878-1153\dllrun32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0930920421-2171050353-638212878-1153\dllrun32.exe');
DeleteFile('C:\WINDOWS\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','ctfmon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенныый карантин" над первым сообщением темы)
Сделайте новые логи
Последний раз редактировалось Никита Соловьев; 14.10.2009 в 23:25.
-
-
Junior Member
- Вес репутации
- 53
С утра выложу логи и карантин. спасибо за помощь
-
Junior Member
- Вес репутации
- 53
-
Сделайте логи в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Логи в нормальном режиме:
-
Логи чистые.
Файлы в карантине:
C:\RECYCLER\S-1-5-21-0930920421-2171050353-638212878-1153\dllrun32.exe - P2P-Worm.Win32.Palevo.jvq
C:\WINDOWS\ctfmon.exe - Trojan-Ransom.Win32.Blocker.dq
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0930920421-2171050353-638212878-1153\dllrun32.exe - P2P-Worm.Win32.Palevo.jvq ( DrWEB: Win32.HLLW.Lime.42, BitDefender: Worm.P2P.Palevo.O, AVAST4: Win32:Palevo-D [Wrm] )
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.Blocker.dq ( DrWEB: Trojan.Winlock.324 )
-