-
Junior Member
- Вес репутации
- 56
Активация Windows по СМС
При продлении лицензии KIS (буквально 1 день не было защиты) подцепили какую то заразу. После установки лицензии kis нашел несколько зверьков, что то смог почистить сразу, для чего то пришлось перегрузиться... После этого комп отработал полдня норм, и потом опять вылезло окно с предложением активации по смс Полная проверка в защищенном режиме ничего не обнаружила... В обычном режиме диспетчер задач блокируется, рабочий стол вылетает с ошибкой при загрузке... После некоторых манипуляций удалось загрузить диспетчер задач, но только с закладкой "Приложения", остальные отсутствуют... Так удалось загрузить AVZ...
Как отключить восстановление системы, если можно только выполнить "Новая задача" из диспетчера задач? Установлена Windows Vista.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
Вот таких зверьков обнаружил KIS:
Packed.Win32.Krap.y - sysdate.exe
Packed.Win32.Krap.af - mssrv32.exe
Trojan-Ransom.Win32.Hexzone.afq - tmp-файл в temp-директории
-
Здравствуйте,
-Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\ctfmon.exe','');
QuarantineFile('c:\users\user\appdata\local\temp\rtkbtmnt.exe','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сообщение от
fancier
Как отключить восстановление системы
Удалите папки System Volume information на всех дисках : http://support.microsoft.com/?scid=k...9531&x=15&y=12.
Последний раз редактировалось Rene-gad; 02.11.2009 в 11:06.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Rene-gad
Выполните скрипт:
Выполнил
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
Появилось, удалил
- Закачайте карантин по ссылке
Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Не нашел такой ссылки в теме Видимо Apple Safari неправильно обрабатывает страницу... В IE нашел, отправил...
Удалите папки System Volume information на всех дисках :
Удалил, на С:\ опять появилась...
Последний раз редактировалось fancier; 02.11.2009 в 13:15.
Причина: Разобрался с проблемой ссылки
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\ctfmon.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Жалобы есть?
Сообщение от
fancier
Удалил, на С:\ опять появилась...
Так и должно быть.
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Rene-gad
Жалобы есть?
Ну вот это как то настораживает:
Код:
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=584, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 584)
Маскировка процесса с PID=632, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 632)
Маскировка процесса с PID=688, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 688)
Маскировка процесса с PID=752, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 752)
В остальном все норм!
-
Сообщение от
fancier
Ну вот это как то настораживает:
Так и должно быть.
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
- Установите Сервис Пак 2 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.SMSer.rj ( DrWEB: Trojan.Winlock.406, BitDefender: Trojan.Generic.2671538, AVAST4: Win32:Trojan-gen )
-