Вирус System Alert: Trojan-Spy.Win32@mx

**mondo** · 04.07.2008, 10:26

Здраствуйте! Помогите пожалуйста вылечить такой вирус.
System Alert: Trojan-Spy.Win32@mx
Операционная система Windows 2000 SP4.
Симптомы: В трее, рядом с часами появляется значок в виде щита с крестиком. Над значком постоянно всплывает сообщение System Alert: Trojan-Spy.Win32@mx. Переодически появляется окно с сообщением Critical System Warning! предлагающее скачать антивирусное приложение.
Бесплатная утилита от Dr.Web (CureIt) не запускается. Выдается сообщение об ошибке, после чего происходит закрытие программы.

До этого в трее было еще три подобных иконки, но благодаря AVZ и скриптам на вашем форуме их удалось убрать. Теперь осталась одна, сигнализирующая о Trojan-Spy.Win32@mx. Как убрать ума не приложу. В автозагрузке появляется постоянно 6 лишних записей три IEUpdate и UpdateWin. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 04.07.2008, 12:45

Не запускайте скрипты написанные для других!

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
ClearQuarantine;
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\system32\spywarewarning.mht','');
 DeleteFile('C:\WINNT\system32\spywarewarning.mht');
 QuarantineFile('C:\WINNT\system32\winivstr.exe','');
 QuarantineFile('C:\Documents and Settings\rebrina\Local Settings\Temp\60325cahp25cao.exe','');
 QuarantineFile('C:\WINNT\sv.exe','');
 QuarantineFile('C:\WINNT\system32\adsntx.exe','');
 DeleteService('winvnc');
 QuarantineFile('c:\winnt\vlc.exe','');
 QuarantineFile('c:\program files\sprof\sprof.exe','');
 QuarantineFile('c:\winnt\runsql.exe','');
 QuarantineFile('c:\winnt\system32\adsldpa.exe','');
 DeleteFile('C:\Program Files\sprof\sprof.exe');
 DeleteFile('C:\WINNT\runsql.exe');
 DeleteFile('C:\WINNT\system32\adsldpa.exe');
 DeleteFile('C:\WINNT\system32\adsntx.exe');
 DeleteFile('C:\Documents and Settings\rebrina\Local Settings\Temp\60325cahp25cao.exe');
 DeleteFile('C:\Documents and Settings\rebrina\Local Settings\Temp\60325cahp25caq.exe');
 DeleteFile('C:\WINNT\sv.exe');
 DeleteFile('C:\WINNT\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
http://virusinfo.info/upload_virus.php?tid=25866
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.

**mondo** · 04.07.2008, 13:54

Спасибо! Вирус вроде пропал. Высылаю еще раз логи.

**AndreyKa** · 04.07.2008, 14:22

Пофиксте в HijackThis следующие строки:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\system32\spywarewarning.mht
O4 - HKLM\..\Run: [vlc] C:\WINNT\vlc.exe
O21 - SSODL: PreBootCheck - {3f6c89f8-f502-47f7-9bae-105797b14082} - (no file)
O24 - Desktop Component 0: (no name) - http://www.guzei.com/photo/12/858.jpg

Сделайте новый лог HijackThis после перезагрузки и приложите к теме.

**mondo** · 04.07.2008, 15:00

Пофиксил

**AndreyKa** · 04.07.2008, 17:35

Теперь чисто.

**CyberHelper** · 22.02.2009, 06:20

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\rebrina\\local settings\\temp\\60325cahp25cao.exe - Trojan-Downloader.Win32.Banload.abv (DrWEB: Trojan.Packed.596)
2. c:\\program files\\sprof\\sprof.exe - Trojan-Downloader.Win32.FraudLoad.bjx (DrWEB: Trojan.DownLoad.6715)
3. c:\\winnt\\sv.exe - Trojan-Downloader.Win32.Banload.abq (DrWEB: Trojan.Packed.596)
4. c:\\winnt\\system32\\adsldpa.exe - not-a-virus:FraudTool.Win32.WistaAntivirus.b (DrWEB: Trojan.Packed.596)
5. c:\\winnt\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.c

Вирус System Alert: Trojan-Spy.Win32@mx (заявка № 25866)

Опции темы