Похоже вирус, выходит картинка Warning! Spyware detected on your computer...
Позвонили родственники, сказали, что компьютер пишет что-то про вирус и стал постоянно перезагружаться. На компе установлен Kerio.
Пробовали запускать KAV - не грузится. Принес с собой AVZ - то же самое. Попробовал запустить диспетчер задач - компьютер перезагрузился.
В безопасном режиме AVZ запустился, но при выполнении скипта закрылся. Логов не оставил. Прогнал AVZ по дискам без скриптов, удалил несколько тороянов. CureIt свежескачанный ничго не нашел. HijackThis, к сожалению, забыл с собой взять :( Попробовал запустить диспетчер задач - не получилось, диспетчер оказался заблокированным.
Перезапустил компьютер в обычный режим, промотрел процессы через диспетчер в far'е, в памяти нашлось несколько подозрительных процессов, пара из них занимали по 6,5Mb в памяти, другие поменьше. Сами файлы лежат в \windows\system32, там же лежали и картинки с сообщением о вирусе: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer".
Вот список файлов, которых не должно бы быть в system32:
06.02.2008 04:47 269*334 bipkb.bmp
07.02.2008 11:19 269*334 bqtojetcrqdgr.bmp
08.02.2008 15:35 19*311 burito.ini
06.02.2008 04:47 32*248 ctfmona.exe
09.02.2008 15:49 269*334 dcrqtsfalcbip.bmp
08.02.2008 00:39 269*334 dknqd.bmp
07.02.2008 15:21 7*994 dllgh8jkd1q1.exe
07.02.2008 15:21 7*994 dllgh8jkd1q2.exe
07.02.2008 15:21 7*994 dllgh8jkd1q5.exe
07.02.2008 15:21 13*962 dllgh8jkd1q6.exe
07.02.2008 15:21 14*398 dllgh8jkd1q7.exe
09.02.2008 17:37 0 dllgh8jkd1q8.exe
09.02.2008 17:37 269*334 fqhkjatkjihkb.bmp
08.02.2008 15:20 10 kr_done1
09.02.2008 16:24 269*334 lgfmdgbmdknqp.bmp
08.02.2008 15:38 269*334 lobed.bmp
07.02.2008 15:21 12*796 newmaxxsv234.exe
09.02.2008 16:25 269*334 pcjet.bmp
08.02.2008 15:14 269*334 qlobqlsr.bmp
09.02.2008 08:39 269*334 ratcr.bmp
07.02.2008 11:04 269*334 sbqpojihgbipgn.bmp
08.02.2008 15:20 62 svcp.csv
08.02.2008 16:12 269*334 tcjitofep.bmp
09.02.2008 02:47 269*334 tgnilsnapkf.bmp
08.02.2008 16:13 269*334 tkbahojadonep.bmp
08.02.2008 15:20 12*956 vedxg4am1et2.exe
08.02.2008 15:20 12*796 vedxga1me4t1.exe
08.02.2008 15:40 78*848 vedxga4m1et4.exe
08.02.2008 15:40 14*848 vedxga8me6.exe
07.02.2008 15:21 1 vx.tll
07.02.2008 15:20 17*872 wind32.exe
07.02.2008 15:21 4 winsub.xml
Это новый вирус, или что-то уже известное?