-
Junior Member
- Вес репутации
- 53
вирус Windows Security Alert
Добрый день!
Надеюсь вы мне сможете помочь, так как видел темы с такой же проблемой на вашем форуме. Вчера появилось окно Windows Security Alert с сообщением об использовании нелицензионной версии Windows и просьбой отослать СМС для получения кода активациию При этом заблокированы панель задач, диспетчер задач и т.п.
Антивирус удалил несколько вирусов, но судя по всему они появляются заново. Реагирует как на вирус и на файл /Windows/ctfmon.exe . При этом "нормальный" файл расположен и в /Windows/system32/ctfmon.exe .
Надеюсь этой информации достаточно. Логи прикреплены
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\OGAEXEC.exe','');
QuarantineFile('C:\Documents and Settings\kate\gmu.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0188172855-8612734608-929335990-1909\sysdate.exe','');
StopService('jtphhwwa');
QuarantineFile('C:\WINDOWS\System32\Drivers\jtphhwwa.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-0188172855-8612734608-929335990-1909\sysdate.exe');
DeleteFile('C:\Documents and Settings\kate\gmu.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\jtphhwwa.sys');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
-
-
Junior Member
- Вес репутации
- 53
неуверен что список выслался. не могли бы вы подтвердить правильность моих действий? спасибо
-
Карантин получен.
Делайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ
Сделайте новыt логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
В логах чисто.Проблема осталась ?
-
-
Junior Member
- Вес репутации
- 53
Окно больше не появляется. Спасибо огромное за помощь!
Интересует ещё один вопрос: не подскажете, есть ли какой-нибудь более универсальный способ решения этой проблемы? Дело в том что ещё на 3 компьютера (знакомых людей) прокрался такой же вирус. Не похоже чтобы распространителем было одно и то же устройство (компьютеры не были связаны перенесением информации одним носителем).
Благодарю ещё раз за помощь и быструю реакцию.
-
универсальные способы рискованны и ненадежны, так как на разных системах все может проявиться по-разному. поэтому смело создавайте темы для других компьютеров - поможем
-
-
Junior Member
- Вес репутации
- 53
regression(
Добрый вечер! К сожалению сегодня вирус вернулся. Симптомы те же. Подскажите что теперь делать. Высылаю логи
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0309024403-8594616772-146438584-7671\sysdate.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0309024403-8594616772-146438584-7671\sysdate.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
результат отсылки карантина не был отображен - не уверен что получили. прикрепляю логи
-
Карантин получен:
sysdate.exe - P2P-Worm.Win32.Palevo.jos
Выполните скрипт в AVZ для отключения автозапуска со сменных носителей:
Код:
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится.
В логах чисто. При помощи антивирусной программы с обновленной базой проверьте все флешки и другие съемные диски, которые подключались к Вашему компьютеру
-
-
Junior Member
- Вес репутации
- 53
спасибо большое.. всё работает. на флешках ничего не было обнаружено, но я надеюсь этот вирус меня больше не побеспокоит. Спасибо за быструю помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0188172855-8612734608-929335990-1909\sysdate.exe - P2P-Worm.Win32.Palevo.jos ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2626083, NOD32: Win32/Agent.QBW trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\recycler\s-1-5-21-0309024403-8594616772-146438584-7671\sysdate.exe - P2P-Worm.Win32.Palevo.jos ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2626083, NOD32: Win32/Agent.QBW trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-