проблема - "Warning! Spyware detected on your computer!"

[werlon]

Началось все как описано у большинства: Avast нашел червя, началась перезагрузка компа - синий рабочий стол с желтой надписью. Avast и AdWare находят червей и прдупреждают, что заражена оперативная память, в связи с чем предлагают перезагрузиться в DOS. Перезагрузившись в DOS, якобы что-то находят и удаляют. Но при загрузке Windows опять та же история. Сколько ни чистил реестр вручную (хотя и не специалист, но до этого случая удавалось), на этот раз - бесполезно. Специальино скачал DrWeb - он тоже много чего якобы нашел и удалил. Затем выполнил все инструкции на вашем сайте. Но как только подключился к интернету и начал набирать этот текст - тут же начали засыпать предупреждения Avast о том, что предпринимается попытка разослать много идентичных писем - предупреждения валят градом, пока не отключишься от интернета. Вот даже не знаю, успею ли при повторном подключении прикрепить нужные файлы и запостить. .... В общем , окна валят градом, рикрепить файлы. Помогите пожалуйста, иначе просто не знаю, что делать

[werlon]

Вот что происходит

[Bratez]

На время выполнения отключите интернет и антивирус.

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\MASTER\Application Data\Mra\Update\mrasearch.dll (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\MASTER\LOCALS~1\Temp\WMxB.exe/r
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - AppInit_DLLs:  wuapsecu.dll e1.dll
O20 - Winlogon Notify: inetzlco - C:\WINDOWS\system32\inetzlco.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O21 - SSODL: apdqnxp - {61EDFCF2-5F1F-4642-872D-764C9AB335C2} - C:\WINDOWS\apdqnxp.dll
O21 - SSODL: btrklfr - {961583A2-E85F-41FB-9FDA-58256F76516F} - C:\WINDOWS\btrklfr.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
 QuarantineFile('wuapsecu.dll','');
 QuarantineFile('e1.dll','');
 QuarantineFile('SocksA.exe','');
 QuarantineFile('C:\WINDOWS\system32\inetzlco.dll','');
 QuarantineFile('C:\WINDOWS\system32\blphcnk2j0ec0t.scr','');
 QuarantineFile('C:\WINDOWS\btrklfr.dll','');
 QuarantineFile('C:\DOCUME~1\MASTER\LOCALS~1\Temp\WMxB.exe/r','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winqv48.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\apdqnxp.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\Winqv48.sys');
 DeleteFile('C:\DOCUME~1\MASTER\LOCALS~1\Temp\WMxB.exe/r');
 DeleteFile('C:\WINDOWS\apdqnxp.dll');
 DeleteFile('C:\WINDOWS\btrklfr.dll');
 DeleteFile('C:\WINDOWS\system32\blphcnk2j0ec0t.scr');
 DeleteFile('C:\WINDOWS\system32\inetzlco.dll');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('Winqv48');
 BC_DeleteSvc('WebClientNetDDEdsdm');
 BC_DeleteSvc('SENSdmadmin');
 BC_DeleteSvc('RSVPPlugPlay');
 BC_DeleteSvc('NtmsSvcNetman');
 BC_DeleteSvc('matlabserverBITS');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25924).
Сделайте новые логи, начиная с п.10 правил.

[werlon]

Все сделал, как написано в инструкции - посмотрите пожалуйста ещё раз
Результат загрузки

Файл сохранён как080705_032620_virus_486f302cda211.zipРазмер файла207982MD50ddf5170e453a85047bcded052ce9cbcФайл закачан, спасибо!

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
 QuarantineFile('F:\Program Files\FreeClip\FreeClip.exe','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winpu26.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winmr48.sys','');
 DeleteService('Winpu26');
 DeleteService('Winmr48');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\Winmr48.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winpu26.sys');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25924

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Сделайте новые логи, начиная с п.10 правил.

[werlon]

Опять все сделал -высылаю

Скажите, на моем компьютере всё очень в запущенном состоянии что ли ?

[Bratez]

Было - весьма в запущеном. Теперь, нашими общими усилиями почти порядок
Выполните еще такой скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_DeleteSvc('stisvcSamSs');
BC_DeleteSvc('PolicyAgentDhcp');
BC_Activate;
RebootWindows(true);
end.

и повторите лог syscheck (п.10 правил).

Какие-то проблемы наблюдаются?

[werlon]

Сделал, как сказали.
Что касается проблем, то рабочий стол восстановился ещё во время первой итерации, хотя как я писал, вирус при выходе в интернет тогда ещё буйствовал.
Сегодня пока вроде все спокойно, но я не провоцировал: в интернет выхожу на 2 минуты, только чтоб запоститься здесь. Боюсь лишнюю минуту задерживаться в сети, потому что не знаю, что именно провоцирует червь начинать рассылки: может он в определенное время начинает это делать или при каких-то других условиях. А у нас так получается, что у провайдера автоматически срабатывает отключение пользователя от сети, если ПО обнаруживает вирусные рассылки. Потом такая морока заново подключиться .... Вот я и жду, когда вы скажете, что точно ничего нет и можно спокойно работать.

Подскажите пожалуйста, нужно ли что-то ещё делать и можете ли вы в принципе установить причину всего безобразия, которое у меня на компе происходило. Есть жуткое подозрение, что это случилось с установкой и запуском новой версии ICQ + брат в мое отсутствие говорит, что в ICQ инсталлировал что-то связанное с играми. Вот после этого глюки все и начались. ICQ виновата или не факт ?

[Bratez]

Теперь все чисто.

ICQ сама по себе точно не виновата.
Обновляйте антивирус почаще и не открывайте в интернете что попало

[werlon]

Уважаемые специалисты форума. ОГРОМНОЕ ВСЕМ СПАСИБО за помощь !!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 55
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\apdqnxp.dll - Trojan.Win32.Vapsup.hud (DrWEB: Trojan.Fakealert.1785)
  2. c:\\windows\\system32\\drivers\\winmr48.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  3. c:\\windows\\system32\\drivers\\winpu26.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.akf (DrWEB: Trojan.Rntm.7)