Помогите.

На компьютере таниственным образом появился Spyware. На рабочем столе постоянный синий экран с надписью,что то вроде "Spyware Detected , install antivirus to clean computer". Вкладка "Рабочий стол" заблокирована.

Логи прилагаются. Пожалуйста,помогите.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys','');
QuarantineFile('C:\Documents and Settings\User\Мои документы\Test_D3D10.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\loader.exe','');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\loader.exe');
BC_ImportAll;
ExecuteSysClean;
executerepair(5);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Сделал всё,как вы мне и сказали. К сожалению,проблема не пропала. ;( Новые логи. Карантин отправил по правилам.

Поищите и пришлите (см. Приложения 2 и 3 правил) этот файл:
[CODE]C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys[/CODE]
Он в карантин не попал.

Прислал.

P.S. Вирус скачивает трояны,удаляю с помощью Dr.Web.

Что-то новое, т.е. не детектится.
Чую нутром, что зловред. Оставьте тот карантин, который закачали - вдруг придется файл восстановить.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('iMSPQMn');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dl_','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('iMSPQMn');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

HijackThis не видит сего процесса.Т.е. там вообще нету чего либо,начинающегося с "O20". Выполнять скрипт?

[QUOTE=Bladger;268157]Т.е. там вообще нету чего либо,начинающегося с "O20". Выполнять скрипт?[/QUOTE]Да. Ничего дописывать не будем ;)

Не помогло :( Новые логи. Карантин отправил по правилам.

[QUOTE=Bladger;268180]Не помогло :( [/QUOTE]В смысле: Доктор продолжает чего-то ловить? Или только надпись осталась?

Надпись осталась. Вкладка "Рабочий стол" по прежнему заблокирована.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\appdrv01.sys','');
BC_ImportAll;
ExecuteSysClean;
executerepair(5);
executerepair(9);
executerepair(11);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

При попытке выполнить скрипт:"Ошибка скрипта:','expected,позиция[15:5]"

[QUOTE=Bladger;268186]При попытке выполнить скрипт:"Ошибка скрипта:','expected,позиция[15:5]"[/QUOTE]Спасибо, извините. Подправил :)

[COLOR="Red"]moderated:::у нас работает коллектив :)[/COLOR] примного благодарен вам за все приложенные усилия на решение моей проблемы.Надписи больше нет,вкладка "Рабочий стол" появилась,а доктор не ловит троянов. При сканировании карантина небыло вообще,только логи,прикрепленные ниже. Еще раз огромное спасибо.

[QUOTE=Bladger;268206]При сканировании карантина небыло вообще[/QUOTE]Значит файлы в базе безопасных АВЗ.
Нужно поставить Сервис Пак 3.

Извините,что опять поднимаю эту тему. Думал,думал,чего же не хватает и обратил внимание,что нету еще вкладки "Заставка". Можно вернуть? Вот логи.Неудобство это причиняет в том плане,что когда должна быть заставка (на компьютере длительное время никто ничего не делает),выскакивает blue screen of die.

Отключите восстановление системы, как написано в правилах.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lphc9ovj0e9ec.exe','');
QuarantineFile('C:\WINDOWS\system32\blphc9ovj0e9ec.scr','');
DeleteFile('C:\WINDOWS\system32\blphc9ovj0e9ec.scr');
DeleteFile('C:\WINDOWS\system32\lphc9ovj0e9ec.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url].

Очистите временные папки и кеш браузера.
Сделайте новые логи.

Спасибо,проблема решена. Вот новые логи. Карантина нет,что указывает на отсутствие инфицированных файлов. Но в целях удостовериться,к сожалению пока не имею возможности приобрести SP3.

[QUOTE=Bladger;273352]Спасибо,проблема решена[/QUOTE]Приятно, что Вы так думаете :)
[QUOTE=Bladger;273352]Карантина нет,что указывает на отсутствие инфицированных файлов.[/QUOTE]
Это указывает только на то, что подозрительные файлы не попали в карантин - ни больше , ни меньше.
[QUOTE=Bladger;273352]к сожалению пока не имею возможности приобрести SP3.[/QUOTE]
Это как? Интернет отрубило? :O

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]

[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\CmdLineExt03.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).