Надпись "Warning! Spyware detected on your computer"

Здравствуйте, появилась надпись посередине экрана [B]"Warning! Spyware detected on your computer"[/B] . Закладка [I]"Рабочий стол"[/I] исчезла. Помогите, если не сложно :(

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [lphc79lj0etb5] C:\WINDOWS\system32\lphc79lj0etb5.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Google Online Services', 4);
DeleteService('Google Online Services');
StopService('Google Online Services');
DeleteService('msupdate');
SetServiceStart('msupdate', 4);
StopService('msupdate');
TerminateProcessByName('c:\windows\system32\lphc79lj0etb5.exe');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\blphc79lj0etb5.scr','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\xp\ie_updates3r.exe','');
QuarantineFile('msupdate.sys','');
QuarantineFile('Raa15.sys','');
QuarantineFile('C:\WINDOWS\system32\lphc79lj0etb5.exe','');
QuarantineFile('c:\windows\system32\lphc79lj0etb5.exe','');
DeleteFile('c:\windows\system32\lphc79lj0etb5.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\blphc79lj0etb5.scr');
DeleteFile('C:\WINDOWS\system32\lphc79lj0etb5.exe');
DeleteFile('Raa15.sys');
DeleteFile('msupdate.sys');
DeleteFile('C:\Documents and Settings\xp\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(11);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
-Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
- Скачайте [url]www.malwarebytes.org[/url], обновите базы, просканьте систему, удалите находки. Лог прикрепите к собщению.
-Повторите логи АВЗ и Хайджека.

Спасибо огромное, надпись исчезла. Но я немного накосячил ) , забыл отключить инет, антивир и выкл. восстановление перед тем как фиксил и выполнял скрипт и отослал такой файл в карантин . Потом проделал все тоже самое, но по инструкции правда фиксить было нечего)) в карантин отправил файл virus2, сорри. Прога по ссылке находит 2 инфицированных объекта но до конца не проверяет, виснет, (( соответственно они так и остаются. (( Еще раз спасибо ;)

Попробуйте поискать и прислать по приложениям 2 и 3 правил файл:
[QUOTE]Raa15.sys[/QUOTE]
Д.б. где-то в папке C:\Windows\...

AVZ выдает:

Ошибка карантина файла, попытка прямого чтения (Raa15.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Raa15.sys )
Карантин с испльзованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\Raa15.sys )
Карантин с использованием прямого чтения - ошибка

А искалка файлов в AVZ тоже ничего не находит?

Я бы загрузился с установочного диска Винды в режиме восстановления системы и из CLI дал команду скопировать этот файл в другой, например Raa15.$y$. Тогда копию уже можно попытаться выслать. Если еще брутальнее, то даже не копировать, а переименовать, или даже удалить сразу.

Правда, есть одно "Но" ...
Если невозможно прямое чтение, значит, кто-то его запрещает на уровне ядра системы. На очень низком уровне. И этот "кто-то" не обязательно указанный файл. Скорее всего, есть еще одна вспомогательная компонента, которая и занимается противодействием удаления основной компоненты. А заодно и себя.

PS. Если нет установочного диска Винды, то можно подготовить загрузочную дискету с поддержкой NTFS например при помощи [URL="http://www.free-av.de/de/tools/11/avira_ntfs4dos_personal.html"]Avira NTFS4DOS Personal[/URL] и загрузиться с нее. Даже побыстрее получится.

PSS. Может быть потребуется сначала при помощи команды [B]attrib[/B] снять атрибуты RHS, иначе не позволит переименовать.

[quote=pig;248581]А искалка файлов в AVZ тоже ничего не находит?[/quote]

Неа :( :

Поиск файлов по маске Raa15.sys
Поиск файлов завершен
Просмотрено 0, найдено 0

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[quote=GrAnd;248631]
PS. Если нет установочного диска Винды, то можно подготовить загрузочную дискету с поддержкой NTFS например при помощи [URL="http://www.free-av.de/de/tools/11/avira_ntfs4dos_personal.html"]Avira NTFS4DOS Personal[/URL] и загрузиться с нее. Даже побыстрее получится.

PSS. Может быть потребуется сначала при помощи команды [B]attrib[/B] снять атрибуты RHS, иначе не позволит переименовать.[/quote]

Спасибо за совет, да, установочного диска нету.

И флопа тоже :(

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('Raa15.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Raa15.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

Вот сделал:

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

В логах чисто,жалобы есть?

Спасибо огромное, жалоб нет ;)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\lphc79lj0etb5.exe - [B]Trojan.Win32.Agent.srz[/B] (DrWEB: Trojan.Packed.557)[/LIST][/LIST]