Навигация > Главная страница / Безопасность / Windows Warning Message! Warning! Spyware detected on your computer!

Windows Warning Message! Warning! Spyware detected on your computer!

1 Star2 Stars3 Stars4 Stars5 Stars (4 Голосов. Средний балл: 4,25 из 5)
Loading...Loading...
Опубликовано в рубрике: Безопасность

За последний месяц, сразу у нескольких моих знакомых,  установленные на рабочем столе обои заменились на грозное «украшение», которое гласило — «Windows Warning Message! Warning! Spyware detected on your computer!«. Там же находились ещё два сообщения:

  • Warning! Win32/Adware. Virtumonde Detected on your computer
  • Warning! Win32/PrivaceRemover. M64 Detected on your computer

У всех этих людей стояла операционка — Windows XP SP2. Антивирусы были разные: Антивирус Касперского 7.0, Nod 32, Avast 4.7. Фаервол, как ни странно, все использовали один — Outpost Firewall, различие было только в версиях. Один человек не пользовался сетевым экраном вообще. Как Вы видите, всё вышеперечисленное многообразие защитных программ — не уберегло пользователей. Никто из них не смог внятно объяснить, когда же примерно мог произойти момент заражения. Также я не смог выяснить, когда же произошла сама и замена обоев. Одни утверждали, что — во время работы, другие — после перезагрузки.

Симптомы:

1. замена ваших обоев рабочего стола, на изображение окна с предупреждением об опасности,

2. после нескольких минут простоя, запускается скринсейвер изображающий «синий экран смерти» (в такие моменты может срабатывать антивирус),

3. в свойствах экрана пропадают вкладки «Заставка» и «Рабочий стол». Поэтому изменить обои на раб. столе этим (в прочем и другими) путём не представляется возможным.

вот  так это окно выглядит обычно)

Если всё вышеперечисленное является вашим случаем, то делаем следующее:

1. Через диспетчер задач (Ctrl+Alt+Del) завершить процесс который будет иметь имя, которое будет похоже на эти файлы: lphc9auj0ej7n.exe,  lphc115j0ep80.exe,  lphcnu7jea4c.exe.

2. Запускаем редактор реестра (в командной строке вводим команду regedit) и удаляем: в ветке — HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
строку C:\WINDOWS\system32\lphc9auj0ej7n.exe

в ветке — HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
ключи NoDispBackgroundPage и NoDispScrSavPage

3. Через файловый менеджер заходим в C:\WINDOWS\system32\ и удаляем файлы которые будут похожи на: lphc9auj0ej7n.exe,  lphc115j0ep80.exe или lphcnu7jea4c.exe.

Т.е. всего файлов, которые нужно  уничтожить, будет два. Один из них будет иметь расширение bmp а другой exe или src. Оба эти файла будут иметь одинаковое имя (например: lphc115j0ep80.exe и lphc115j0ep80.bmp).

После перезагрузки всё должно стать тип-топ и Вы сможете вернуть свой рабочий стол в привычный вид. Однако не забудьте после этого, всё же обновить антивирусные базы и проверить систему.

Также можете прочесть — «Как удалить вирус подмены страниц» или:

Как спрятать платные ссылки от поисковиков.

Заработок на регистрации доменов.

Что такое сателлит?

Акция — обмен постовыми.

Не грусти - RSS прочти.
Buzz vkontakte

Комментарии (18) к записи “Windows Warning Message! Warning! Spyware detected on your computer!”

  1. WebDown » Архив » Осторожно, мошенники!

    […] здесь. Блог о SEO, SMO и манимейкинге Заработок в сети Windows Warning Message! Warning! Блог для тебя Дневник неизвестного верстальщика […]


  2. Илья

    Огромное спасибо! Помогло.

    А какой вы посоветуйте поставить антивирус. Главное, чтобы был хороший и не зависал систиме?


  3. Cpu-7990

    Понимаю,- ситуация неприятная. Поэтому очень рад, что смог помочь.
    Антивирус… Если подбирать именно под требования: надёжность и нетребовательность к ресурсам, то пожалуй — Nod32.


  4. Илья

    странно. только вчера все убрал. посидел ночь в интете (при чем хочу заметить на нормальных сайтах)))) и утром включаю ком и опять. срочно антивирус буду ставить. и опять все делать! еще рах спасибо!!!


  5. Sergey

    Спасибо, помогло.


  6. CPU-7990

    Re: Илья
    Пожалуйста.
    Хм… наверное фаервол подводит.
    Удачи.)

    Re: Sergey
    Всегда пожалуйста. )


  7. Арчи

    Круто! Спасибо автор.
    ТОлько вот SCR- заставка, как я понимаю не убирается…мол работает..и диспетчер н едаёт открыть (серым цветом)..


  8. CPU-7990

    Re: Арчи

    Да, заставка остается до конца лечения, и только после перезагрузки её уже можно заменить через свойства экрана.
    По поводу диспетчера не совсем понял…
    …если его нельзя открыть, то тогда 2 пути:
    1. сразу делаем что надо в реестре (тем самым мы удаляем её из автозагрузки), потом перегружаемся и удаляем сами файлы (можно в аварийном режиме),
    2. удаляем файлы с помощью Unlocker Assistant и уже потом лезем в реестр и т.д.


  9. Druzyagin

    Файлы еще можно удалять из-под сейф мода. Сам сегодня боролся с этой проблемой.
    Вирус с чужой флешки перетёк (принесли реферат распечатать), хотя nod32 вроде всякую пакость поудалял.
    Утром машину перезапустил, и понеслась.
    Сразу обрубил процесс в такс менеджере, отключил автозапуск в msconfig, и обрубил интернет. Вирус пытался скачать какую-то байду, но тут мне помог файрвол.
    Свои следы вирус оставляет в папке Cookies (несколько ехе-файлов, которые легко удаляются), уже упомянутые автором блога .exe и .scr файлы из системной директории и динамически генерящиеся dataN.bin (временные файлы IE6). Удаление всего вышеперечисленного в стандартном режиме не помогает. Из безопасного режима все файлы прекрасно удаляются, затем сверху еще на всякий случай проверяю NOD32 со свежими базами.
    Перезагружаю машину в нормальном режиме, и вижу что вируса больше нет, и всякая пакость больше не лезет в интернет. Нахожу эту статью и восстанавливаю закладки в настройка монитора (за что автору статьи спасибо :) )


  10. VIKTOR

    Отлично. ПОМОГЛО. Это самый легкий и быстрый способ. А то в инете есть способы ооооочень сложные. Этот лучший!!! Спасибо!!!


  11. Яков

    Столкнулся с подобной проблеммой.
    Знакомый принес ноутбук с Windows Warning Message!
    При этом не реагирукт на ctrl+alt+del пишет «Диспетчер задач отключен администратором» и ни на что не раегирует вообще.
    То же самое в сэйф моде.
    Удалось загрузить редактор реестра из под сэйф мода с поддержкой коммандной строки. Но в указанных местах реестра подобных строк и ключей найти не удалось! Что делать? Подскажите пожалуйста!


  12. CPU-7990

    Druzyagin,
    VIKTOR
    Поздравляю с победой! )

    Яков.
    В таких случаях ..надобно посмотреть… На расстоянии трудно что-то посоветовать, но попробую.
    1 вариант.
    Попробуйте сначала вернуть к жизни диспетчер, как это сделать написано здесь — netler.ru/pc/taskmgr.htm
    Если это получится сделать, то в диспетчере посмотрите (и запишите) точное имя процесса, потом убейте его. И уже затем в редакторе реестра, запустите поиск конкретно по этому имени…

    2.Вариант.
    Начать с поиска самих файлов вируса ( C:\WINDOWS\system32 ). Записать точное название этих файлов, потом удалить их. Запустить поиск по реестру по имени за файла вируса… и т.д.


  13. Александр

    Спасибо


  14. Aidos

    я прочитал про то что как можно убрать через реестрес Windows Warning Message! Warning! Spyware detected on your computer!
    но у меня из за этого не открывается ни одно программа и даже этот реестер что мне делать подскажите?


  15. CPU

    Вариант 1. Пуск -> Выполнить -> вводим строку — regedit.exe
    Вариант 2) Пуск -> Выполнить > command.com -> в появившемся окне пишем — regedit и жмём «Enter»
    Если не помогает, то попробуйте сделать тоже самое, но уже в безопасном режиме (при загрузке винды жмём F8).

    Вы говорите «…не открывается ни одно программа и даже этот реестер», — а что при этом пишет? Случайно не — «Запрещено администратором»?


  16. Vlad

    подскажите как востановить файлы которые были на рабочем столе до вируса????


  17. Vlad

    как востановить все что было на рабочем столе до вируса??


  18. CPU

    Правой кнопкой по рабочему столу —> упорядочить значки —> отображать значки рабочего стола. ..Если не выйдет, то нужно смотреть реестр (посмотр, эти форумы — http://programmersforum.ru/showthread.php?t=25389 http://otvety.google.ru/otvety/thread?tid=255c8c1f9ade3547).


Оставить комментарий: