Вчера вечером на экране компютера появилось сообщение "Срок действия ключа истек... Для покупки нового лицензионного ключа Windows пошлите смс содержащую wwwkeys на номер 7733"
AVZ4, NOD32 (установлен штатно), Dr. WEB CureIT! ничего не нашли ни в режиме сохранения, ни при запуске с системы с CD, ни при запуске "из под блокировки" (об этом ниже).
Однако, при нажатии клавиши ESC при блокировке удается сместить фокус и добраться до кнопки пуск. При этом если есть соединение с интренет, кнопка не видна, но можно добратся до "мой компьтер".
В процессе сканирования AVZ была обнаружена маскировка процесса из файла \sys32\msdtc\trace\winlogon.exe При переименовании этого файла симптомы блокировки исчезли.
Однако, файл parport.sys все еще маскируется и преименовать его не удается (появляется новый) хотя непонятно отностися ли он к делу.
Посылаю логи, что бы понять как лечить дальше. Стоит ли прислать зараженный winlogon для анализа (предварительно его заархивировав конечно)?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: