YOUR SYSTEM IS INFECTED!

[1николай]

Здравствуйте, у меня появилась проблема. На моем рабочем столе появилась надпись:

YOUR SYSTEM IS INFECTED!
System has been stopped due to a serious malfunction.
Spyware activity has been detected.
It is recommeded to usr spyware removal tool to prevent data loss.
Do not use the computer before all spyware remover.

Что делать? Помогите

[Белый Сокол]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\program files\advancedvirusremover\pavrm.exe');
 QuarantineFile('C:\WINDOWS\system32\0078.dll','');
 DelBHO('{0734AD78-25B9-45D2-949C-ED138915BF22}');
 QuarantineFile('C:\WINDOWS\system32\lslibs.dll','');
 QuarantineFile('C:\WINDOWS\system32\sachost.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
 QuarantineFile('C:\WINDOWS\system32\locale.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\Documents and Settings\OEM\Application Data\DealAssistant\dealassistant.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Tet-A-Tet.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\de317\WSc1b.exe','');
 DeleteService('Imlnhcina');
 QuarantineFile('c:\program files\advancedvirusremover\pavrm.exe','');
 DeleteFile('Imlnhcina.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\de317\WSc1b.exe');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\locale.exe');
 DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
 DeleteFile('C:\WINDOWS\system32\sachost.exe');
 DeleteFile('C:\WINDOWS\system32\lslibs.dll');
 BC_ImportAll;
 ExecuteSysclean;
 ExecuteRepair(9);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

Подготовьте новые логи.

[1николай]

Новые логи подготовил как вы и сказали.

[1николай]

Логи создал.

[1николай]

Всё ли я сделал правильно? Или что-то не так??

[Никита Соловьев]

Чисто

[1николай]

В смысле чисто? Проблема то осталась:

[1николай]

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

Возможно, я вам прислал не все файлы, которые попали в карантин AVZ. Последнее было как: 091026_185153_virus_4ae5c59993d0e.zip от 26.10.2009

[Никита Соловьев]

В смысле чисто? Проблема то осталась:

Прошу прощения, попутал тему

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\program files\advancedvirusremover\pavrm.exe');
 QuarantineFile('c:\program files\advancedvirusremover\pavrm.exe','');
 DeleteFile('c:\program files\advancedvirusremover\pavrm.exe');
 DeleteFileMask('c:\program files\advancedvirusremover\','*.*',true);
 DeleteDirectory('c:\program files\advancedvirusremover\');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи

[1николай]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\advancedvirusremover\pavrm.exe');
QuarantineFile('c:\program files\advancedvirusremover\pavrm.exe','');
DeleteFile('c:\program files\advancedvirusremover\pavrm.exe');
DeleteFileMask('c:\program files\advancedvirusremover\','*.*',true);
DeleteDirectory('c:\program files\advancedvirusremover\');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи

Вот новые логи:

[Никита Соловьев]

Пофиксите в HJT:

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)

Что с проблемой?

[1николай]

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
R3 - URLSearchHook: (no name) - - (no file)

Профиксил в HJT.

Что с проблемой?

Огромное спасибо за помощь! Всё работает отлично, вирус удалился.
СПАСИБО!!!!

А что делать с файлами: virusinfo_cure, virusinfo_syscure, virusinfo_syscheck, которые остались в папке LOG, а также с текстовым документом hijackthis и папкой backups ?

[Никита Соловьев]

А что делать с файлами: virusinfo_cure, virusinfo_syscure, virusinfo_syscheck, которые остались в папке LOG, а также с текстовым документом hijackthis и папкой backups ?

Удалите

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 48
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\advancedvirusremover\pavrm.exe - Trojan.Win32.FraudPack.xrd ( DrWEB: Trojan.Fakealert.6259, BitDefender: Gen:Trojan.Heur.Hype.8HW@aeeh5op, NOD32: Win32/Adware.AdvancedVirusRemover.B application, AVAST4: Win32:Trojan-gen )
  2. c:\system volume information\_restore{d77952ef-4819-47e3-9ada-2f84c44282d6}\rp620\a0211508.dll - not-a-virus:AdWare.Win32.TMAagent.t ( NOD32: Win32/Adware.TMAagent application )
  3. c:\windows\system32\winupdate.exe - Trojan-Downloader.Win32.FraudLoad.fwn ( DrWEB: Trojan.DownLoad.56984, BitDefender: Trojan.Fakealert.BQL, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Rootkit-gen [Rtk] )