Windows Warning Message! Warning! Spyware detected on your computer!

Рубрика: Безопасность
Сен 22

За последний месяц, сразу у нескольких моих знакомых,  установленные на рабочем столе обои заменились на грозное “украшение”, которое гласило - “Windows Warning Message! Warning! Spyware detected on your computer!“. Там же находились ещё два сообщения:

  • Warning! Win32/Adware. Virtumonde Detected on your computer
  • Warning! Win32/PrivaceRemover. M64 Detected on your computer

У всех этих людей стояла операционка - Windows XP SP2. Антивирусы были разные: Антивирус Касперского 7.0, Nod 32, Avast 4.7. Фаервол, как ни странно, все использовали один - Outpost Firewall, различие было только в версиях. Один человек не пользовался сетевым экраном вообще. Как Вы видите, всё вышеперечисленное многообразие защитных программ - не уберегло пользователей. Никто из них не смог внятно объяснить, когда же примерно мог произойти момент заражения. Также я не смог выяснить, когда же произошла сама и замена обоев. Одни утверждали, что - во время работы, другие - после перезагрузки.

Симптомы:

1. замена ваших обоев рабочего стола, на изображение окна с предупреждением об опасности,

2. после нескольких минут простоя, запускается скринсейвер изображающий “синий экран смерти” (в такие моменты может срабатывать антивирус),

3. в свойствах экрана пропадают вкладки “Заставка” и “Рабочий стол”. Поэтому изменить обои на раб. столе этим (в прочем и другими) путём не представляется возможным.

вот  так это окно выглядит обычно)

Если всё вышеперечисленное является вашим случаем, то делаем следующее:

1. Через диспетчер задач (Ctrl+Alt+Del) завершить процесс который будет иметь имя, которое будет похоже на эти файлы: lphc9auj0ej7n.exe,  lphc115j0ep80.exe,  lphcnu7jea4c.exe.

2. Запускаем редактор реестра (в командной строке вводим команду regedit) и удаляем: в ветке - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
строку C:\WINDOWS\system32\lphc9auj0ej7n.exe

в ветке - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
ключи NoDispBackgroundPage и NoDispScrSavPage

3. Через файловый менеджер заходим в C:\WINDOWS\system32\ и удаляем файлы которые будут похожи на: lphc9auj0ej7n.exe,  lphc115j0ep80.exe или lphcnu7jea4c.exe.

Т.е. всего файлов, которые нужно  уничтожить, будет два. Один из них будет иметь расширение bmp а другой exe или src. Оба эти файла будут иметь одинаковое имя (например: lphc115j0ep80.exe и lphc115j0ep80.bmp).

После перезагрузки всё должно стать тип-топ и Вы сможете вернуть свой рабочий стол в привычный вид. Однако не забудьте после этого, всё же обновить антивирусные базы и проверить систему.

Также можете прочесть - “Как удалить вирус подмены страниц” или:

Как спрятать платные ссылки от поисковиков.

Заработок на регистрации доменов.

Что такое сателлит?

Акция - обмен постовыми.

Любишь чтения процесс - подпишись на RSS.

Оставить комментарий

  1. WebDown » Архив » Осторожно, мошенники! :

    [...] здесь. Блог о SEO, SMO и манимейкинге Заработок в сети Windows Warning Message! Warning! Блог для тебя Дневник неизвестного верстальщика [...]

    2. ---------
  2. Илья :

    Огромное спасибо! Помогло.

    А какой вы посоветуйте поставить антивирус. Главное, чтобы был хороший и не зависал систиме?

    3. ---------
  3. Cpu-7990 :

    Понимаю,- ситуация неприятная. Поэтому очень рад, что смог помочь.
    Антивирус… Если подбирать именно под требования: надёжность и нетребовательность к ресурсам, то пожалуй - Nod32.

    4. ---------
  4. Илья :

    странно. только вчера все убрал. посидел ночь в интете (при чем хочу заметить на нормальных сайтах)))) и утром включаю ком и опять. срочно антивирус буду ставить. и опять все делать! еще рах спасибо!!!

    5. ---------
  5. Sergey :

    Спасибо, помогло.

    6. ---------
  6. CPU-7990 :

    Re: Илья
    Пожалуйста.
    Хм… наверное фаервол подводит.
    Удачи.)

    Re: Sergey
    Всегда пожалуйста. )

    7. ---------
  7. Арчи :

    Круто! Спасибо автор.
    ТОлько вот SCR- заставка, как я понимаю не убирается…мол работает..и диспетчер н едаёт открыть (серым цветом)..

    8. ---------
  8. CPU-7990 :

    Re: Арчи

    Да, заставка остается до конца лечения, и только после перезагрузки её уже можно заменить через свойства экрана.
    По поводу диспетчера не совсем понял…
    …если его нельзя открыть, то тогда 2 пути:
    1. сразу делаем что надо в реестре (тем самым мы удаляем её из автозагрузки), потом перегружаемся и удаляем сами файлы (можно в аварийном режиме),
    2. удаляем файлы с помощью Unlocker Assistant и уже потом лезем в реестр и т.д.

    9. ---------
  9. Druzyagin :

    Файлы еще можно удалять из-под сейф мода. Сам сегодня боролся с этой проблемой.
    Вирус с чужой флешки перетёк (принесли реферат распечатать), хотя nod32 вроде всякую пакость поудалял.
    Утром машину перезапустил, и понеслась.
    Сразу обрубил процесс в такс менеджере, отключил автозапуск в msconfig, и обрубил интернет. Вирус пытался скачать какую-то байду, но тут мне помог файрвол.
    Свои следы вирус оставляет в папке Cookies (несколько ехе-файлов, которые легко удаляются), уже упомянутые автором блога .exe и .scr файлы из системной директории и динамически генерящиеся dataN.bin (временные файлы IE6). Удаление всего вышеперечисленного в стандартном режиме не помогает. Из безопасного режима все файлы прекрасно удаляются, затем сверху еще на всякий случай проверяю NOD32 со свежими базами.
    Перезагружаю машину в нормальном режиме, и вижу что вируса больше нет, и всякая пакость больше не лезет в интернет. Нахожу эту статью и восстанавливаю закладки в настройка монитора (за что автору статьи спасибо :) )

    10. ---------
  10. VIKTOR :

    Отлично. ПОМОГЛО. Это самый легкий и быстрый способ. А то в инете есть способы ооооочень сложные. Этот лучший!!! Спасибо!!!

    11. ---------
  11. Яков :

    Столкнулся с подобной проблеммой.
    Знакомый принес ноутбук с Windows Warning Message!
    При этом не реагирукт на ctrl+alt+del пишет “Диспетчер задач отключен администратором” и ни на что не раегирует вообще.
    То же самое в сэйф моде.
    Удалось загрузить редактор реестра из под сэйф мода с поддержкой коммандной строки. Но в указанных местах реестра подобных строк и ключей найти не удалось! Что делать? Подскажите пожалуйста!

    12. ---------
  12. CPU-7990 :

    Druzyagin,
    VIKTOR
    Поздравляю с победой! )

    Яков.
    В таких случаях ..надобно посмотреть… На расстоянии трудно что-то посоветовать, но попробую.
    1 вариант.
    Попробуйте сначала вернуть к жизни диспетчер, как это сделать написано здесь - netler.ru/pc/taskmgr.htm
    Если это получится сделать, то в диспетчере посмотрите (и запишите) точное имя процесса, потом убейте его. И уже затем в редакторе реестра, запустите поиск конкретно по этому имени…

    2.Вариант.
    Начать с поиска самих файлов вируса ( C:\WINDOWS\system32 ). Записать точное название этих файлов, потом удалить их. Запустить поиск по реестру по имени за файла вируса… и т.д.

    13. ---------
  13. Александр :

    Спасибо

    14. ---------

Оставить комментарий

Данный блог использует плагин KeywordLuv С его помощью Вы можете поставить 4 ключевых слова на Ваш блог. Введите: Ваш_ник @ ключевые_слова - в поле "Имя".

*
Для подтверждения, что Вы человек (а не спам-скрипт), нужно решить простое математическое задание. Если Вам необходимо, то нажав на картинку Вы можете прослушать аудио-файл задания на которое нужно ответить.
Нажмите, чтобы услышать аудио-файл анти-спам уравнения

                 
        

© 2009 Блог заядлого интЕрнетчика ™
Designed by Business Software