Windows Warning Message! Warning! Spyware detected on your computer!

За последний месяц, сразу у нескольких моих знакомых,  установленные на рабочем столе обои заменились на грозное «украшение», которое гласило — «Windows Warning Message! Warning! Spyware detected on your computer!«. Там же находились ещё два сообщения:

  • Warning! Win32/Adware. Virtumonde Detected on your computer
  • Warning! Win32/PrivaceRemover. M64 Detected on your computer

У всех этих людей стояла операционка — Windows XP SP2. Антивирусы были разные: Антивирус Касперского 7.0, Nod 32, Avast 4.7. Фаервол, как ни странно, все использовали один — Outpost Firewall, различие было только в версиях. Один человек не пользовался сетевым экраном вообще. Как Вы видите, всё вышеперечисленное многообразие защитных программ — не уберегло пользователей. Никто из них не смог внятно объяснить, когда же примерно мог произойти момент заражения. Также я не смог выяснить, когда же произошла сама и замена обоев. Одни утверждали, что — во время работы, другие — после перезагрузки.

Симптомы:

1. замена ваших обоев рабочего стола, на изображение окна с предупреждением об опасности,

2. после нескольких минут простоя, запускается скринсейвер изображающий «синий экран смерти» (в такие моменты может срабатывать антивирус),

3. в свойствах экрана пропадают вкладки «Заставка» и «Рабочий стол». Поэтому изменить обои на раб. столе этим (в прочем и другими) путём не представляется возможным.

вот  так это окно выглядит обычно)

Если всё вышеперечисленное является вашим случаем, то делаем следующее:

1. Через диспетчер задач (Ctrl+Alt+Del) завершить процесс который будет иметь имя, которое будет похоже на эти файлы: lphc9auj0ej7n.exe,  lphc115j0ep80.exe,  lphcnu7jea4c.exe.

2. Запускаем редактор реестра (в командной строке вводим команду regedit) и удаляем: в ветке — HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
строку C:\WINDOWS\system32\lphc9auj0ej7n.exe

в ветке — HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
ключи NoDispBackgroundPage и NoDispScrSavPage

3. Через файловый менеджер заходим в C:\WINDOWS\system32\ и удаляем файлы которые будут похожи на: lphc9auj0ej7n.exe,  lphc115j0ep80.exe или lphcnu7jea4c.exe.

Т.е. всего файлов, которые нужно  уничтожить, будет два. Один из них будет иметь расширение bmp а другой exe или src. Оба эти файла будут иметь одинаковое имя (например: lphc115j0ep80.exe и lphc115j0ep80.bmp).

После перезагрузки всё должно стать тип-топ и Вы сможете вернуть свой рабочий стол в привычный вид. Однако не забудьте после этого, всё же обновить антивирусные базы и проверить систему.

Также можете прочесть — «Как удалить вирус подмены страниц» или:

Как спрятать платные ссылки от поисковиков.

Заработок на регистрации доменов.

Что такое сателлит?

Акция — обмен постовыми.

Есть хорошая примета - RSS - успеха лента!
Ссылка на основную публикацию