Активация Windows по СМС

[fancier]

При продлении лицензии KIS (буквально 1 день не было защиты) подцепили какую то заразу. После установки лицензии kis нашел несколько зверьков, что то смог почистить сразу, для чего то пришлось перегрузиться... После этого комп отработал полдня норм, и потом опять вылезло окно с предложением активации по смс Полная проверка в защищенном режиме ничего не обнаружила... В обычном режиме диспетчер задач блокируется, рабочий стол вылетает с ошибкой при загрузке... После некоторых манипуляций удалось загрузить диспетчер задач, но только с закладкой "Приложения", остальные отсутствуют... Так удалось загрузить AVZ...
Как отключить восстановление системы, если можно только выполнить "Новая задача" из диспетчера задач? Установлена Windows Vista.

[fancier]

Вот таких зверьков обнаружил KIS:

Packed.Win32.Krap.y - sysdate.exe
Packed.Win32.Krap.af - mssrv32.exe
Trojan-Ransom.Win32.Hexzone.afq - tmp-файл в temp-директории

[Rene-gad]

Здравствуйте,

-Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('c:\windows\ctfmon.exe','');
 QuarantineFile('c:\users\user\appdata\local\temp\rtkbtmnt.exe','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

Как отключить восстановление системы

Удалите папки System Volume information на всех дисках : http://support.microsoft.com/?scid=k...9531&x=15&y=12.

[fancier]

Выполните скрипт:

Выполнил

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

Появилось, удалил

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

Не нашел такой ссылки в теме Видимо Apple Safari неправильно обрабатывает страницу... В IE нашел, отправил...

Удалите папки System Volume information на всех дисках :

Удалил, на С:\ опять появилась...

[Rene-gad]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\ctfmon.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Жалобы есть?

Удалил, на С:\ опять появилась...

Так и должно быть.

[fancier]

Жалобы есть?

Ну вот это как то настораживает:

Код:

 
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=584, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 584)
Маскировка процесса с PID=632, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 632)
Маскировка процесса с PID=688, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 688)
Маскировка процесса с PID=752, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 752)

В остальном все норм!

[Rene-gad]

Ну вот это как то настораживает:

Так и должно быть.

Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

- Установите Сервис Пак 2 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\ctfmon.exe - Trojan-Ransom.Win32.SMSer.rj ( DrWEB: Trojan.Winlock.406, BitDefender: Trojan.Generic.2671538, AVAST4: Win32:Trojan-gen )