злой вирус

При подключении интернета ( на любом сайте) в трее появляется красный круг с белым крестом и периодически высвечивается сообщение "Warning! Security report Your computer is infected! It is strongly recommended to start spyware cleaner tool". Symantec Antivirus поместил в изолятор Softstop. После этого рабочий стол стал однотонным, не возможно изменить рабочий стол

пофиксите...
[code]
O4 - HKLM\..\Run: [Windows Framework] C:\DOCUME~1\Alexey\LOCALS~1\Temp\frmwrk.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\docume~1\alexey\locals~1\temp\frmwrk.exe','');
DeleteFile('c:\docume~1\alexey\locals~1\temp\frmwrk.exe');
BC_ImportAll;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите крантин согласно приложения 3 правил ...
повторите логи...

Большое спасибо все полечилось. Посылаю карантин.

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mssvmdll.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\uncwqs.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\dfgaert.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mstsk32.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\krnl32.dll','');
QuarantineFile('C:\WINDOWS\System32\svhc32.dll','');
QuarantineFile('C:\WINDOWS\System32\krnl32.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\winhid64.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\sthbdm32.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\krnl32.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\sthbdm32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

скрипт выполнил, посылаю карантин

Карантина вашего нет, ни от первого скрипта ни от второго.

Карантины загружают по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=12806"]"Прислать запрошенные файлы"[/URL] вверху темы.
Из сообщения его уберите.

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Alexey\sthbdm32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\krnl32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\sthbdm32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\winhid64.dll');
DeleteFile('C:\Documents and Settings\Alexey\krnl32.dll');
DeleteFile('C:\WINDOWS\System32\krnl32.dll');
DeleteFile('C:\WINDOWS\System32\svhc32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mstsk32.dll');
DeleteFile('C:\Documents and Settings\Alexey\dfgaert.dll');
DeleteFile('C:\Documents and Settings\Alexey\uncwqs.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mssvmdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-dcf7-f96da086b434} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\sthbdm32.dll
O2 - BHO: (no name) - {6C6B8C69-9285-4D94-8492-9E920C8C2B65} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\winhid64.dll
O2 - BHO: (no name) - {74f25a2c-22b3-4023-8f1a-ca616c30a8b5} - C:\Documents and Settings\Alexey\sthbdm32.dll
O2 - BHO: (no name) - {c5183abc-eb6e-4e05-b8c9-500a16b6cf94} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\krnl32.dll
O3 - Toolbar: (no name) - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\mstsk32.dll
O3 - Toolbar: (no name) - {12EE7A5E-0674-42f9-A76B-000000004D00} - C:\Documents and Settings\Alexey\dfgaert.dll
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Documents and Settings\Alexey\uncwqs.dll
O3 - Toolbar: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\mssvmdll.dll
[/code]
Сделайте новые логи.

извените сразу не совсем понял

новые логи

[B]SpywareSoftStop[/B] нужно удалить через установку удаление программ (это чистое мошенничество) ....

чем из этого пользуетесь ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

SpywareSoftStop удалил.

из всего списка используется только:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]

скрипт выполнил. Огромное спасибо. Как я могу Вас отблагадорить?

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\alexey\\locals~1\\temp\\frmwrk.exe - [B]Hoax.Win32.Renos.iw[/B] (DrWEB: Trojan.Fakealert.327)[/LIST][/LIST]