windows security alert

Printable View

02.10.2009, 18:49
vivienna

windows security alert

Здравствуйте!

После перезагрузки компьютера вылезло окно иммитирующее windows security alert, с просьбой отправит СМС для разблокировки windows на номер 3649

Доступа к рабочему столу (и вообще к чему-либо другому) нет, поэтому вс действия производились в безопасном режиме
02.10.2009, 19:07
Макcим

Выполните скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\iexplorer72.exe','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\Installer\{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}\Skype.ico','');
QuarantineFile('C:\Program Files\IETester\IETester.exe','');
DeleteFile('C:\WINDOWS\Installer\{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}\Skype.ico');
DeleteFile('C:\WINDOWS\ctfmon.exe');
DeleteFile('C:\WINDOWS\iexplorer72.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Попробуйте сделать логи в нормальном режиме.
02.10.2009, 19:35
vivienna

спасибо! скрипт помог, получилось загрузиться в нормальном режиме

карантин загружен, логи сделала в нормальном режиме и прикрепила

п.с. я смотрю в скрипте в карантин поставлен иеТестер - он нужен мне для работы. он случайно туда попал или он несёт в себе вредоносный код? =)
02.10.2009, 21:11
Макcим

Файл HOSTS Вы сами правили?

В логах всё нормально.

Проведите пожалуйста процедуру, описанную в первом сообщении [url]http://virusinfo.info/showthread.php?t=3519[/url]

IETester попал в карантин как неизвестное мне приложение. Он чистый.
02.10.2009, 21:30
vivienna

hosts правил denver (веб-сервер), но он вносил только записи типа - 127.0.0.1, чьи записи - 127.0.0.2, не знаю.

процедуру провела.
02.10.2009, 21:38
Макcим

Если мешают можете удалить, деструктива они не несут, так что решать Вам.
02.10.2009, 22:40
vivienna

в сообщении [url]http://virusinfo.info/showpost.php?p=478616&postcount=3332[/url] сказали -
"Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\WINDOWS\iexplorer72.exe: HEUR:Trojan.Win32.Generic
C:\WINDOWS\ctfmon.exe: Trojan-Ransom.Win32.SMSer.mc
Для детального обследования и лечения рекомендуется обратиться в раздел Помогите"

я же правильно понимаю что эти файлы были помещены в карантин, а потом удалены скриптом выше. и они просто попали в архив вместе со вновь собраной информацией?
02.10.2009, 22:52
Макcим

[QUOTE=vivienna;478636]я же правильно понимаю что эти файлы были помещены в карантин, а потом удалены скриптом выше. и они просто попали в архив вместе со вновь собраной информацией?[/QUOTE]Да, в логах их нет. Если хотите, сделайте свежий лог virusinfo_syscheck.zip для перестраховки.
02.10.2009, 22:58
vivienna

свежий лог =)
02.10.2009, 23:00
Макcим

Всё нормально, можете сами убедиться (открыть лог в браузере и поискать "iexplorer72.exe" или "ctfmon.exe").
03.10.2009, 23:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\ctfmon.exe - [B]Trojan-Ransom.Win32.SMSer.mc[/B] ( DrWEB: Trojan.Winlock.302, BitDefender: Trojan.Generic.2523146, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\iexplorer72.exe - [B]Worm.Win32.AutoRun.gwc[/B] ( DrWEB: BackDoor.IRC.Letmein.13 )[/LIST][/LIST]