31 декабря у меня выскочила весьма забавная табличка. Дескать, у вас установлена нелицензионная копия windows и т.д. В инструкции по получению кода необходимо переслать деньги на счет в Яндекс.деньги что сразу навело меня на мысль о вирусе.
Сообщение выскакивало сразу при входе в windows и выглядело приблизительно так:
Компьютер заблокирован.
При проверке подлинности Windows, было обнаружено, что на вашем компьютере установлено нелицензионное программное обеспечение. Для дальнейшей работы необходимо ввести код активации, указанный на коробке с диском или получить новый код активации, следуя инструкции.
Все это оформлено, что называется, "под microsoft" всеми силами, но всё равно в глаза бросается
При попытке зайти в безопасном режиме компьютер просто перезагружался, ничего не выдавая.
Для того, чтобы хоть что-то сделать я установил другую копию windows. Затем проверил полностью весь компьютер на вирусы. Dr. Web нашел несколько инфицированных файлов и удалил их.
После чего я вновь попробовал зайти в старую копию windows, но и на этот раз мне не удалось этого сделать. Сообщение "Компьютер заблокирован" больше не выскакивает и windows загружается. Но при загрузке появляется заставка (фон) и больше ничего Т.е. ни рабочего стола (ярлыков), ни пуск`а. При этом диспетчер задач работает, но больше никакие горячие клавишы не срабатывают.
P.S. Windows лицензионный. Все обновления скачаны и установлены. Антивирсная программа: Symantec.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В этот день было много всего. Сейчас уже начинаю подозревать все что угодно. Посещал разные сайты, скачал пару программ, затем играл в Warcraft на официальном сервере. Проблема началась как раз в момент игры. Игра свернулась и через секунду выскочила эта табличка, которую уже ничем не спихнуть.
На официальный сервер Warcraft зайти можно только имея установленную игру (по крайней мере я так захожу, может чего то не так описал....). Ни на каком сайте браузер себя странно не вел. Правда, Dr. Web в числе инфицированных файлов указал на скачанную программу для японских кроссвордов, которую я, естественно, удалил.
Дайте не активную ссылку на официальный сервер Warcraft. Может на каком-то сайте браузер себя странно вел (зависал, закрывался и т.д.)?
Мой анализатор не находит прямого аналога по тексту сообщения. Тем не менее принцип работы и лечения понятны - эта зараза пости наверняка заменяет ключик, запускающий Explorer. То, что диспетчер задач запускается по трем кнопкам, это подтверждает - оттуда можно запустить AVZ и далее выполнить восстановление системы (Файл\Восстановление системы) - и том отметить скрипты 1,4,5,6,7,8,9,11,13,16,17 (можно скрипт для этого написать - это несложно, если нужно - напишу), нажать кнопку выполнения и затем перезагрузиться. В теории должно помочь ... Вот описание аналогичного случая: http://www.z-oleg.com/secur/advice/adv1103.php
эта зараза пости наверняка заменяет ключик, запускающий Explorer.
Что Вы имеете ввиду под "ключиком", ещё и запускающим Explorer? Тогда как эта зараза не давала даже зайти в windows.
Восстановление системы выполнил только что. В результате загрузился рабочий стол (без фона правда, но я так понимаю, что это не важно) и вроде бы все работает кроме Internet Explorer`а. Когда я ввожу в адресную строку что-либо (адрес вашего сайта в данном случае) и потом нажимаю enter у меня начинает открываться ещё одно окно explorer`а и всё повисает (окна внутри остаются пустыми).
P.S. Пишу это сообщение со второй (после установленной) ОС.
Последний раз редактировалось peculiar; 02.01.2008 в 23:35.
Что Вы имеете ввиду под "ключиком", ещё и запускающим Explorer? Тогда как эта зараза не давала даже зайти в windows.
Восстановление системы выполнил только что. В результате загрузился рабочий стол (без фона правда, но я так понимаю, что это не важно) и вроде бы все работает кроме Internet Explorer`а. Когда я ввожу в адресную строку что-либо (адрес вашего сайта в данном случае) и потом нажимаю enter у меня начинает открываться ещё одно окно explorer`а и всё повисает (окна внутри остаются пустыми).
P.S. Пишу это сообщение со второй (после установленной) ОС.
В реестре есть ряд ключей, отвечающих за загрузку Eplorer - их зловред и портит. Раз помогло восстановление AVZ, то это уже полдела. Теперь следует сделать вот что:
1. Загрузиться на пораженном ПК и повторить логи, посмотрим, может, что-то в них изменилось. Перед снятием логов обязательно запустить IE
2. Следует поискать папку Backup в каталоге AVZ. Если таковая обнаружится, то ее следует сжать чем угодно (ZIP, RAR) и прицепить сюда - это старые значения ключей реестра, забекапленные AVZ в ходе правки - может быть, что-то там интересное найдется
3. AVZ, меню "Файл\Мастер поиска и устранения проблем". Следует в нем:
3.1. Поставить степень опасности "Все проблемы" и запустить поиск для категории "Системные проблемы". Все найденное пофиксить ...
3.2 данную операцию повторить для категории "Настройки и твики браузера" - все найденное следует пометить и пофиксить.
1. Как прикрепить лог к сообщению? (извините, но никак не могу сообразить)
2. Отослал zip-файл.
3. Сделал полностью. Во втором пункте что-то понаходило, все пофиксил, как и написали.
Я советую выполнить скрипт и прислать содержимое карантина согласно правилам:
Код:
begin
QuarantineFile('C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe','');
QuarantineFile('C:\WINDOWS\system32\IntEdReg.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\PRTdlink.dll','');
end.
Не совсем ясно, что это за OctoshapeClient такой ? Еще момент - WinPcap установлен для каких-то задач ? (C:\Program Files\WinPcap\). Если он не нужен, то его стоит деинсталлировать.
OctoshapeClient это помойму что-то связанное с драйвером или программой для нормальной работы видеокарты (может конечно и путаю что-то).
Winpcap не знаю что такое, попробую удалить.
Код который Вы написали выполнить - выполнил. Выдало следующие:
Файл успешно помещен в карантин (C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe)
Выполнен карантин файла C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe
Файл успешно помещен в карантин (C:\WINDOWS\system32\IntEdReg.exe)
Выполнен карантин файла C:\WINDOWS\system32\intedreg.exe
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\svchost.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\svchost.exe)
Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\WINDOWS\system32\PRTdlink.dll)
Выполнен карантин файла C:\WINDOWS\system32\PRTdlink.dll
Добавлено через 8 минут
Winpcap удалил. Что это было так и не понял Все удалилось без проблем, но на проблему с Explorer`ом это никак не повлияло.
Последний раз редактировалось peculiar; 03.01.2008 в 22:05.
Причина: Добавлено
OctoshapeClient - это какая-то сетевая программа, судя по имени файла - это P2P медиасервер. Если таковой не устанавливался спечисльно, то его следует деиснсталлировать
OctoshapeClient - это какая-то сетевая программа, судя по имени файла - это P2P медиасервер. Если таковой не устанавливался спечисльно, то его следует деиснсталлировать
Очень не хочется удалить что-нибудь "лишнее", чтобы ещё больших проблем не началось
Сейчас устновил на первую ОС Оперу и с нее нормально могу зайти (вот к примеру на ваш форум).
Так что видимо это проблема только с Explorer`ом, может быть стоит просто его переустановить?
Или может быть эта ошибка возникает из-за того, что у меня сейчас стоит две ОС. Может быть стоит удалить вторую, чтобы осталась только первая?
Выполняю описанный скирпт. Выскакивает табличка с надписью о том, что скрипт выполнен без ошибок. Нажимаю "ок" и система перезагружается (пробовал дважды).
P.S. Не подскажите как мне удалить вторую копию Windows с моего компьютера?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: