Сообщение "Warning! Potential spywqre operation!"

[alex_grig]

Сообщение "Warning! Potential spywqre operation!" появляется примерно каждые 5 мин.
NOD32 бесплатный и CureIt не помогли.
Отключить восстановление системы не пускает.

[PavelA]

Богато у Вас тут накопилось.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('msvcrt64.dll','');
 QuarantineFile('Explorer.exe C:\WINDOWS\system32\printer.exe','');
 QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
 QuarantineFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
 QuarantineFile('C:\WINDOWS\system32\pwdmon.dll','');
 BC_DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
 DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
 DeleteFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe');
 BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
 BC_DeleteFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe');
 DeleteFile('C:\WINDOWS\system32\sulimo.dat');
 BC_DeleteFile('C:\WINDOWS\system32\sulimo.dat');
 DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe');
 BC_DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe');
 DeleteFile('msvcrt64.dll');
 BC_DeleteFile('msvcrt64.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки загрузить карантин через ссылку вверху темы.
Профиксить:

Код:

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)

Сделать новые логи.

[alex_grig]

Карантин отправил.
Новые логи:

[PavelA]

C:\WINDOWS\system32\pwdmon.dll - чистый
C:\WINDOWS\system32\WinAvXX.exe

Код:

Файл avz00004.dta получен 2007.10.03 11:30:52 (CET)Антивирус Версия Обновление Результат 
AhnLab-V3 2007.10.3.0 2007.10.02 - 
AntiVir 7.6.0.18 2007.10.02 TR/Crypt.ULPM.Gen 
Authentium 4.93.8 2007.10.03 Possibly a new variant of W32/Fathom.3-based!Maximus 
Avast 4.7.1043.0 2007.10.02 - 
AVG 7.5.0.488 2007.10.02 - 
BitDefender 7.2 2007.10.03 - 
CAT-QuickHeal 9.00 2007.10.02 - 
ClamAV 0.91.2 2007.10.03 - 
DrWeb 4.44.0.09170 2007.10.03 - 
eSafe 7.0.15.0 2007.10.02 suspicious Trojan/Worm 
eTrust-Vet 31.2.5182 2007.10.03 - 
Ewido 4.0 2007.10.02 - 
FileAdvisor 1 2007.10.03 - 
Fortinet 3.11.0.0 2007.10.03 - 
F-Prot 4.3.2.48 2007.10.03 W32/Fathom.3-based!Maximus 
F-Secure 6.70.13030.0 2007.10.03 - 
Ikarus T3.1.1.12 2007.10.03 - 
Kaspersky 7.0.0.125 2007.10.03 - 
McAfee 5132 2007.10.02 New Malware.bc 
Microsoft 1.2803 2007.10.03 Trojan:Win32/SystemHijack.gen 
NOD32v2 2568 2007.10.03 - 
Norman 5.80.02 2007.10.02 - 
Panda 9.0.0.4 2007.10.03 Suspicious file 
Prevx1 V2 2007.10.03 Spyware.WinAntiVirus 
Rising 19.43.10.00 2007.10.02 - 
Sophos 4.22.0 2007.10.03 Mal/HckPk-A 
Sunbelt 2.2.907.0 2007.10.03 - 
Symantec 10 2007.10.03 - 
TheHacker 6.2.6.076 2007.10.03 - 
VBA32 3.12.2.4 2007.10.03 - 
VirusBuster 4.3.26:9 2007.10.02 - 
Webwasher-Gateway 6.0.1 2007.10.02 Trojan.Crypt.ULPM.Gen  
Дополнительная информация 
File size: 7680 bytes 
MD5: deb743bf6e559857315bd69e4a734cf6 
SHA1: db6ae94b25333b3dd9993061bde08b485eac8132 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CD2653B7005047B81E9C0094309B6600BA310C53

Остальные попавшие, похоже точно такие же.
В повторных логах их нет, значит удалились.

[alex_grig]

Большое спасибо!

[PavelA]

1.Вот этот файлик поищите в AVZ C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
и загрузите его.

2.Что из этого не пользуете? Надо отключить.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

3.плюс в hijackthis профксить неск. строчек

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O21 - SSODL: msvcrt64.dll - {8A18BF86-F19C-4917-8337-ECAAD75DB9EC} - (no file)

4. плюс оставить один работающий антивирус.

Добавлено через 2 часа 1 минуту

not-virus:Hoax.Win32.Renos.lb по ЛК - свеженький . Теперь будет называться так.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - Hoax.Win32.Renos.lb (DrWEB: Trojan.Fakealert.357)
  2. c:\\documents and settings\\git\\главное меню\\программы\\автозагрузка\\system.exe - Hoax.Win32.Renos.lb (DrWEB: Trojan.Fakealert.357)
  3. c:\\windows\\system32\\winavxx.exe - Hoax.Win32.Renos.lb (DrWEB: Trojan.Fakealert.357)