Подцепил какое-то вредоносное ПО

[LMD]

Вечер добрый всем! Хотя для меня он и не очень добрый и вот почему:
При заходе на один из сайтов на комп перекинулся какой-то вирус. У меня установлен Dr.Web4.44, но он ничего не видит при полной проверке диска. Запускал и Dr.Web CureIt - результат тот же. Ни единого намека на вирусы или нечто такое. Теперь самое интересное - как этот вирус себя проявляет. Первым делом у меня пропал мой фоновый рисунок с рабочего стола и появился новый с такой надписью "Warning:Spyware threat has been detected on your PC. Your computer has several fatal errors due to spyware activity. It is strongly recommend to install an antispyware software to close all security vulnerabilities. Antispy software helps protect your PC against spyware and other security threats. CLICK HERE TO SCAN YOUR PC FOR SPYWARE..." Причем последняя фраза представляет из себя нечто вроде ссылки при нажатии на которую меня кидает на сайт где собственно и представлены данные spyware программы. Попытался закачать одну из них и мой антивирус сообщил мне, что внутри находится троян.
Кроме того с периодичностью в 1 минуту у меня в трее появляются разные уведомления(мол комп у меня сильно тормозит, обнаружено вероятное spyware ПО и т.д.) Каждое из них снова таки предлагает перейти на вышеупомянутый сайт и скачать проогу для решения проблемы. А раз в 3 минуты где-то на рабочем столе появляется сообщение якобы от центра обеспечения безопасности Windows, в котором четко указывается наличие вредных файлов на моем диске. И они на самом деле там есть. И все эти сообщения также предлагают перейти на сайт и скачать проги.
Что я смог обнаружить сам, так это наличие 6 новых папок в Program Files и более 50 файлов в папке Windows, которые я точно знаю не должны быть на моем диске. В основном это dll'ки и exe'шники. При попытке удалить их вручную они заново появляются. Некоторые даже не получается удалить так как система говорит, что они заняты каким-то приложением. При попытке посмотреть, что это за приложения(я запускаю Диспечер задач), мне выдает сообщение "Диспечер задач отключен администратором". Вот вроде бы и все. Прикрепляю файлы, сделанные по вашей инструкции и надеюсь на вашу помощь...

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ebqxsdov.dll','');
 QuarantineFile('C:\WINDOWS\dazqfihi.dll','');
 QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
 QuarantineFile('c:\windows\system32\rxjddnvj.exe','');
 DeleteFile('c:\windows\system32\rxjddnvj.exe');
 DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
 DeleteFile('C:\WINDOWS\dazqfihi.dll');
 DeleteFile('C:\WINDOWS\ebqxsdov.dll');
 DelBHO('{69b7a69e-1dd2-11b2-906d-e64d270e4e59}');
BC_ImportDeletedList;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
пофиксите ...

Код:

O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)
O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {69b7a69e-1dd2-11b2-906d-e64d270e4e59} - C:\WINDOWS\ebqxsdov.dll (file missing)
O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [0tw1zP3Apn] rundll32.exe "C:\WINDOWS\dazqfihi.dll",DllCleanServer

повторите логи...

[LMD]

Вроде все сделал. Но есть одно НО - при попытке пофиксить не нашел такие строки
O2 - BHO: (no name) - {69b7a69e-1dd2-11b2-906d-e64d270e4e59} - C:\WINDOWS\ebqxsdov.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [0tw1zP3Apn] rundll32.exe "C:\WINDOWS\dazqfihi.dll",DllCleanServer

Тем не менее фоновый рисунок стал прежним и перестали выскакивать сообщения. Нужно ли мне еще что-то делать?
Забыл сказать, что карантин отправил.

[wise-wistful]

а где лог virusinfo_syscure.zip ?

[V_Bond]

в логах в принципе чисто ... но третий не помешает ...

[LMD]

Прошу прощения - вотнедостающий лог
Кстати вдогонку хочу задать еще пару вопросов:
1. Можно и нужно ли включать восстановление системы после всех манипуляций?
2. Я так понял инфицированные папки и файлы мне нужно будет удалять вручную?

[V_Bond]

1 воостановление можно включать
2 все удалено скриптом ...
3 что из приведенного списка используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[LMD]

ПК домашний и честно говоря что это за службы я даже не знаю. По безопасности также ничего сказать толком не могу поскольку не разбираюсь в этом. Если Вы считаете, что лучше закрыть этот доступ, то хотелось бы узнать как это можно сделать?(можно ссылкой кинуть где про это написано).
А вот про удаленные папки и файлы с помощью скрипта хочу сказать следующее- на диске я их все еще вижу.

[V_Bond]

папки само -собой .... а вот файлы нет ...
у вас есть локальная сеть ?

[LMD]

И папки и файлы я все еще вижу, но такое ощущение, что после всех манипуляций они стали не активными. попробывал удалить одну папку и она уже не восстановилась как было раньше. Диспечер задач тоже заработал. В общем все стало на круги своя.
Локальной сети нет...

[V_Bond]

вы C:\WINDOWS\ - хотели удалить ?7?

для отключения всего спимска выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[LMD]

Скрипт выполнил.
С С:\WINDOWS\ я хочу удалить те 50 файлов, а с C:\Program Files\ 6 папок с файлами...или в чем-то проблема?

[V_Bond]

ничего не нужно удалять .... если уж очень хочется пришлите их согласно приложения 3 правил .... ( к вашим проблемам они не имеют отношения)

[LMD]

Ну что ж тогда очевидно все. Огромнейшее Вам спасибо! Вы, парни, работаете получше любого антивируса. Еще раз Всем спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rxjddnvj.exe - Hoax.Win32.Renos.asa (DrWEB: Trojan.Fakealert.41