Сообщение "Warning! Potential spywqre operation!"

Сообщение "Warning! Potential spywqre operation!" появляется примерно каждые 5 мин.
NOD32 бесплатный и CureIt не помогли.
Отключить восстановление системы не пускает.

Богато у Вас тут накопилось.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msvcrt64.dll','');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\WINDOWS\system32\pwdmon.dll','');
BC_DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
BC_DeleteFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
BC_DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe');
BC_DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe');
DeleteFile('msvcrt64.dll');
BC_DeleteFile('msvcrt64.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки загрузить карантин через ссылку вверху темы.
Профиксить:

[CODE]O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)[/CODE]
Сделать новые логи.

Карантин отправил.
Новые логи:

C:\WINDOWS\system32\pwdmon.dll - чистый
C:\WINDOWS\system32\WinAvXX.exe
[CODE]Файл avz00004.dta получен 2007.10.03 11:30:52 (CET)Антивирус Версия Обновление Результат
AhnLab-V3 2007.10.3.0 2007.10.02 -
[B]AntiVir 7.6.0.18 2007.10.02 TR/Crypt.ULPM.Gen [/B]
[B]Authentium 4.93.8 2007.10.03 Possibly a new variant of W32/Fathom.3-based!Maximus [/B]
Avast 4.7.1043.0 2007.10.02 -
AVG 7.5.0.488 2007.10.02 -
BitDefender 7.2 2007.10.03 -
CAT-QuickHeal 9.00 2007.10.02 -
ClamAV 0.91.2 2007.10.03 -
DrWeb 4.44.0.09170 2007.10.03 -
[B]eSafe 7.0.15.0 2007.10.02 suspicious Trojan/Worm [/B]
eTrust-Vet 31.2.5182 2007.10.03 -
Ewido 4.0 2007.10.02 -
FileAdvisor 1 2007.10.03 -
Fortinet 3.11.0.0 2007.10.03 -
[B]F-Prot 4.3.2.48 2007.10.03 W32/Fathom.3-based!Maximus [/B]
F-Secure 6.70.13030.0 2007.10.03 -
Ikarus T3.1.1.12 2007.10.03 -
Kaspersky 7.0.0.125 2007.10.03 -
[B]McAfee 5132 2007.10.02 New Malware.bc [/B]
[B]Microsoft 1.2803 2007.10.03 Trojan:Win32/SystemHijack.gen [/B]
NOD32v2 2568 2007.10.03 -
Norman 5.80.02 2007.10.02 -
[B]Panda 9.0.0.4 2007.10.03 Suspicious file
Prevx1 V2 2007.10.03 Spyware.WinAntiVirus [/B]
Rising 19.43.10.00 2007.10.02 -
[B]Sophos 4.22.0 2007.10.03 Mal/HckPk-A [/B]
Sunbelt 2.2.907.0 2007.10.03 -
Symantec 10 2007.10.03 -
TheHacker 6.2.6.076 2007.10.03 -
VBA32 3.12.2.4 2007.10.03 -
VirusBuster 4.3.26:9 2007.10.02 -
[B]Webwasher-Gateway 6.0.1 2007.10.02 Trojan.Crypt.ULPM.Gen [/B]
Дополнительная информация
File size: 7680 bytes
MD5: deb743bf6e559857315bd69e4a734cf6
SHA1: db6ae94b25333b3dd9993061bde08b485eac8132
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CD2653B7005047B81E9C0094309B6600BA310C53
[/CODE]

Остальные попавшие, похоже точно такие же.
В повторных логах их нет, значит удалились.

Большое спасибо!

1.Вот этот файлик поищите в AVZ [B]C:\Program Files\IBM\Messages By IBM\ibmmessages.exe[/B]
и загрузите его.

2.Что из этого не пользуете? Надо отключить.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

3.плюс в hijackthis профксить неск. строчек
[CODE]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O21 - SSODL: msvcrt64.dll - {8A18BF86-F19C-4917-8337-ECAAD75DB9EC} - (no file)
[/CODE]
4. плюс оставить один работающий антивирус.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 1 минуту[/I][/B][/color][/size]

[b]not-virus:Hoax.Win32.Renos.lb[/b] по ЛК - свеженький . Теперь будет называться так.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - [B]Hoax.Win32.Renos.lb[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\documents and settings\\git\\главное меню\\программы\\автозагрузка\\system.exe - [B]Hoax.Win32.Renos.lb[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\system32\\winavxx.exe - [B]Hoax.Win32.Renos.lb[/B] (DrWEB: Trojan.Fakealert.357)[/LIST][/LIST]