Показано с 1 по 16 из 16.

вирус Windows Security Alert (заявка № 57468)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53

    Thumbs up вирус Windows Security Alert

    Добрый день!
    Надеюсь вы мне сможете помочь, так как видел темы с такой же проблемой на вашем форуме. Вчера появилось окно Windows Security Alert с сообщением об использовании нелицензионной версии Windows и просьбой отослать СМС для получения кода активациию При этом заблокированы панель задач, диспетчер задач и т.п.
    Антивирус удалил несколько вирусов, но судя по всему они появляются заново. Реагирует как на вирус и на файл /Windows/ctfmon.exe . При этом "нормальный" файл расположен и в /Windows/system32/ctfmon.exe .
    Надеюсь этой информации достаточно. Логи прикреплены

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\OGAEXEC.exe','');
     QuarantineFile('C:\Documents and Settings\kate\gmu.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0188172855-8612734608-929335990-1909\sysdate.exe','');
     StopService('jtphhwwa');
     QuarantineFile('C:\WINDOWS\System32\Drivers\jtphhwwa.sys','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0188172855-8612734608-929335990-1909\sysdate.exe');
     DeleteFile('C:\Documents and Settings\kate\gmu.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\jtphhwwa.sys');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

  4. #3
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53
    неуверен что список выслался. не могли бы вы подтвердить правильность моих действий? спасибо

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Карантин получен.

    Делайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53
    вот новые логи

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксить в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Обновите базы AVZ
    Сделайте новыt логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53
    сделано. прикрепляю логи

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    В логах чисто.Проблема осталась ?

  10. #9
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53
    Окно больше не появляется. Спасибо огромное за помощь!

    Интересует ещё один вопрос: не подскажете, есть ли какой-нибудь более универсальный способ решения этой проблемы? Дело в том что ещё на 3 компьютера (знакомых людей) прокрался такой же вирус. Не похоже чтобы распространителем было одно и то же устройство (компьютеры не были связаны перенесением информации одним носителем).

    Благодарю ещё раз за помощь и быструю реакцию.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    универсальные способы рискованны и ненадежны, так как на разных системах все может проявиться по-разному. поэтому смело создавайте темы для других компьютеров - поможем

  12. #11
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53

    regression(

    Добрый вечер! К сожалению сегодня вирус вернулся. Симптомы те же. Подскажите что теперь делать. Высылаю логи

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-0309024403-8594616772-146438584-7671\sysdate.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0309024403-8594616772-146438584-7671\sysdate.exe');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteRepair(16);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

    Сделайте новые логи

  14. #13
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53
    результат отсылки карантина не был отображен - не уверен что получили. прикрепляю логи

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Карантин получен:
    sysdate.exe - P2P-Worm.Win32.Palevo.jos

    Выполните скрипт в AVZ для отключения автозапуска со сменных носителей:
    Код:
    begin
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В логах чисто. При помощи антивирусной программы с обновленной базой проверьте все флешки и другие съемные диски, которые подключались к Вашему компьютеру

  16. #15
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    11
    Вес репутации
    53
    спасибо большое.. всё работает. на флешках ничего не было обнаружено, но я надеюсь этот вирус меня больше не побеспокоит. Спасибо за быструю помощь!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 25
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-0188172855-8612734608-929335990-1909\sysdate.exe - P2P-Worm.Win32.Palevo.jos ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2626083, NOD32: Win32/Agent.QBW trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\recycler\s-1-5-21-0309024403-8594616772-146438584-7671\sysdate.exe - P2P-Worm.Win32.Palevo.jos ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2626083, NOD32: Win32/Agent.QBW trojan, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) sCOBULL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус Windows Security Alert..
      От Esther в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.05.2011, 19:26
    2. Вирус Windows security alert
      От STOK в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 20.11.2009, 10:59
    3. Windows Security Alert вирус
      От Package в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 01.11.2009, 21:24
    4. Вирус Windows Security Alert (2ПК)
      От Plate в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.10.2009, 04:47
    5. Вирус Windows Security Alert
      От sugak11 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.10.2009, 21:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01454 seconds with 19 queries