Три ярлыка на рабочем столе и сообщения об атаке и заражении

[SONIIR]

Похожее сообщение:
http://virusinfo.info/showthread.php...oto=nextnewest

мое исправленное описание:
1)на рабочем столе три ярлыка: Error Cleaner, Privacy Protector, Spyware&Malware Protection
2)в свойствах ярлыков прописан адрес: http://viruswebprotect.com/shandler....id=0&pn=5&sg=1 ,каждый раз адрес разный
3)Периодически на экране появляются сообщения:

Security Warning!
Worm.Win32.NetSky detected in your machine. далее идет рассказ о том какой это чертовски опасный вирус. В конце рассказа:
Type: Virus
System Affected: Windows 2000, NT, ME, XP, Vista
Security Risk (0-5): 5
Recomendations: click yes to remove it from your PC immediately

windows has detected an internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful
viruses. Run full system scan now to protect you PC from Internet attacks,
hijacking attempts and spyware! Click here to downloads spyware
remover for total protection.

Worm.Win32.NetSky detected on your machine.

4)в трее висит значек: красный шестиугольник с белым крестом внутри. Этот значек периодически извергает всплывающее окно "System Alert" с расказом о том какай опасности подвергается мой компьютер.
5)"Диспетчер задач отключен администратором" (такое сообщение появляется при попытки запустить taskmgr)
6)также периодически открывается IExplorer и ведет меня на сайт http://spywareisolator.com/landing/scan.php?wmid=abr и
http://sys-cleaner.com/freeware/2/?wmid=6019 на котором обещают все это вылечить.
7) В IE появилась новая панель инструментов с названием - etlrlws.
8 ) Nod 32 и drWeb ничего не нашли (базы свежие).

[wise-wistful]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\etlrlws.dll','');
 QuarantineFile('C:\WINDOWS\Temp\catchme.sys','');
 QuarantineFile('C:\WINDOWS\bokpkov.dll','');
 QuarantineFile('C:\WINDOWS\altvxvm.dll','');
 DeleteFile('C:\WINDOWS\altvxvm.dll');
 DeleteFile('C:\WINDOWS\bokpkov.dll');
 DeleteFile('C:\WINDOWS\Temp\catchme.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('catchme');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20024

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O21 - SSODL: bokpkov - {BFE84B15-AD35-489F-89BE-F59CD9E6ED1B} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {FA3E20CB-14B2-4A07-87A1-6605B8AEE76F} - C:\WINDOWS\altvxvm.dll

Повторите логи.

[SONIIR]

Пофиксить в HijackThis удалось только R0
остальных после выполнения скрипта небыло.

[wise-wistful]

etlrlws.dll, bokpkov.dll, altvxvm.dll not-a-virus:AdWare.Win32.Vapsup.cpw, ntos.exe - Trojan-Spy.Win32.Zbot.all.
Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\etlrlws.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделайте новый комплек логов.

[SONIIR]

Выполнил, сделал новые логи.

[wise-wistful]

Да живучий. Сделайте такой скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{269B1AAF-415B-4C27-B8D0-1618BB6F03A1}');
 DeleteFile('C:\WINDOWS\etlrlws.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Это Вам знакомо:
рroxy.soniir.samara.ru:3128 и vetch.magot. pl.
Повторите логи.

[SONIIR]

рroxy.soniir.samara.ru:3128 - да это мое

и vetch.magot. pl. - не припоминаю

выполняю рекомендации.

[SONIIR]

новые логи

[wise-wistful]

В логах чисто. Проблемы какие-то наблюдаются?

[SONIIR]

Пока все спокойно.
Комп домашний, сейчас он на работе, вечером провею выйдя в инет через ADSL.
А можно поинтересоватся как произошло заражение?
Хозяин утверждает что ни на какие предложения согласия не давал...
Стоит NOD32 базы - еженедельно.

[wise-wistful]

Как именно заражение произошло, кто его знает. Кроме того базы необходимо обновлять чаще. Если постоянно работаете в интернете - то 1 раз в 3 часа, если не постоянно работаете - то при каждом выходе в сеть, а то раз в неделю уж очень редко.

Добавлено через 39 секунд

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[SONIIR]

СПАСИБО!!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\altvxvm.dll - not-a-virus:AdWare.Win32.Vapsup.cpw (DrWEB: Adware.Supa)
  2. c:\\windows\\bokpkov.dll - Trojan.Win32.Vapsup.pmh (DrWEB: Trojan.Popuper)
  3. c:\\windows\\etlrlws.dll - not-a-virus:AdWare.Win32.Vapsup.cpw (DrWEB: Trojan.Popuper)
  4. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.all (DrWEB: Trojan.Proxy.2634)