Типа антивирус, требует смс

[bam24]

После загрузки компьютера появляются окна windows secutity centr и threat found, оповещающие об угрозах вирусов, при нажатии "лечить" появляется окно с требованием прислать смс. При убирании этого окна тут же вылетает браузер с ошибкой (скриншот ошибки http://s02.radikal.ru/i175/1008/ec/5a43378217b3.jpg ).
В трее постоянно мигает значок PC defender с сообщением о найденных угрозах и время от времени предлагающий обновить базу данных (тоже за смс, конечно). И так повторяется и повторяется...
После нескольких таких сообщений и отказов от предлагаемого ими выскакивает сообщение об ошибки в NT AUTHORITY\SYSTEM и предупреждение что через минуту компьютер перегрузится... ну и перезагружается, да.
Никаких антивирусов перед этим не ставил, да и вообще ничего не ставил... Логи в таких условиях провести невозможно, попробую зайти и сделать их в безопасном режиме.
Слава богу в этот раз хоть без всяких порнобаннеров...
Ну вот, едва успел создать тему, как вылезла ещё куча ошибок и появился синий экран.
Пишу уже с безопасного режима, тут никаких проблем не наблюдается, сейчас займусь логами.

[bam24]

Сделал логи, прикреплены к сообщению. Перед ними так же делал проверку dr. web cureit, был вроде как найден один вирус.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\d9b57950.exe','');
 QuarantineFile('C:\WINDOWS\system32\44d06860.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Program Files\Def Group\PC Defender\pcdef.exe','');
 DeleteFile('C:\Program Files\Def Group\PC Defender\pcdef.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Defender');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 DeleteFile('C:\WINDOWS\system32\44d06860.exe');
 DeleteFile('C:\WINDOWS\system32\d9b57950.exe');
DeleteFileMask('C:\Program Files\Def Group', '*.*', true);
DeleteDirectory('C:\Program Files\Def Group');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи в нормальном режиме без запущенного CureIt

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[bam24]

Всё сделал.

[thyrex]

Выполните скрипт в AVZ в безопасном режиме

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
 QuarantineFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 DeleteFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи в нормальном режиме + лог МВАМ

[bam24]

Готово.

[thyrex]

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09} (Trojan.Ransom) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Program Files\Internet Explorer\setupapi.dll (Trojan.BHO) -> No action taken.
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\БАМ\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\БАМ\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.

Выполните скрипт в AVZ в безопасном режиме

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\БАМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи AVZ и МВАМ

[bam24]

м, а если я уже закрыл МВАМ, для удаления теперь нужно заново проводить полное сканирование? В закладке "карантин" почему-то только прошлогодние, со старой проверки, файлы.

[thyrex]

Да, сканировать придется заново

[bam24]

Сделал всё. Логов с МВАМ тут 2, более ранний это тот что дался после удаления, по ссылке в вашем посте сказано что он нужен, поздний лог - данный после очередного сканирования.

[thyrex]

Плохого не видно. Что с проблемой?

[bam24]

Вроде всё нормально.

[thyrex]

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Acrobat Reader 9.3 или удалите старый

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 18
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\бам\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan.Win32.Refroso.brlv ( DrWEB: Trojan.Botnetlog.126, BitDefender: Trojan.Generic.4775866, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. c:\\program files\\def group\\pc defender\\pcdef.exe - Trojan.Win32.FakeAV.cki ( DrWEB: Trojan.Fakealert.18672, BitDefender: Trojan.Generic.4592656, NOD32: Win32/Adware.PCDefender.AC application, AVAST4: Win32:Adware-gen [Adw] )
  3. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
  4. c:\\windows\\system32\\d9b57950.exe - Trojan.Win32.Inject.atkb ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.419900, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
  5. c:\\windows\\system32\\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, NOD32: Win32/Spy.Agent.NSQ trojan, AVAST4: Win32:Malware-gen )
  6. c:\\windows\\system32\\44d06860.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )