-
Junior Member
- Вес репутации
- 56
Нелицензионный Windows, просят отправить смс.
Здравствуйте! Вообщем, наверное далеко не первый я, вылазит окошко, сделанное под центр безопасности винды, написано, что данная копия нелицензионная, просят отправить смс на короткий номер, стоимость 50 руб. 50 коп. А теперь подробней: появляется только при подключении к инету, после появления блокирует диспетчер задач, пуск и прочее, если перед этим запустить авз, можно убить через его диспетчер задач, процесс называется ххх.exe, где ххх - число, бывает разным. Хранится все это дело в "C:\Temp\". После удаления появляется снова и снова. Да, еще такой момент, проявляется только у одного пользователя, у второго все без проблем. Рылся в автозапуске, ничего не помогло. Прошу помощи! Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8696244869-9723730806-614092179-2001\dllrun32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8696244869-9723730806-614092179-2001\dllrun32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Последний раз редактировалось Alex_Goodwin; 07.10.2009 в 18:13.
-
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-8696244869-9723730806-614092179-2001\dllrun32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8696244869-9723730806-614092179-2001\dllrun32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 56
Спасибо, все работает. Я совместил оба ваших скрипта в один. Да, кстати, из скрипта не вносились изменения в реестр, ручками правил. И кроме HLM нужно было также исправить такую же ветку в HCU. Всем спасибо!