Warning! Spyware Detected on your computer!

Здравствуйте.
У меня на рабочем столе висит "Warning! Spyware Detected on your computer! Install an antivirus or spyware remover to clean your computer"... и прочее

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\System32\drivers\Winsy52.sys
C:\WINDOWS\System32\Drivers\Winlr38.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winlr38');
QuarantineFile('C:\WINDOWS\system32\blphccq3j0ea75.scr','');
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winsy52.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winsy52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr38.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
DeleteFile('C:\WINDOWS\system32\blphccq3j0ea75.scr');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winlr38');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 2[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]

После перезагрузки :
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Всё сделал.
Вот логи.
Карантин отправил:
Файл сохранён как 080828_073934_virus_48b69c8673313.zip
Размер файла 238956
MD5 1e9daf4952e0882afebd031c3816a7b9

У меня на втором компе (соединены по локалке) та же история.
Нужно новую тему открывать?

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]
C:\WINDOWS\system32\WinCtrl32*.*
C:\WINDOWS\system32\WinDat.cab
C:\WINDOWS\System32\drivers\Winsy52.sys
[/CODE]
Знак * - маска, т.е. могут быть любые имена/расширения.
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winlr38');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy52.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winsy52.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winlr38');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки :
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

После выполнения скрипта и перезагрузки, все поновой. Опять - Warning! Spyware Detected.
Может я чего нето сделал.
Повторил процедуру.

[QUOTE=rezsky;275900]После выполнения скрипта и перезагрузки, все поновой. Опять - Warning! Spyware Detected.
Может я чего нето сделал.
Повторил процедуру.[/QUOTE]Вы нашли какие-нибудь файлы из списка для icesword a?

нашел и удалил... но не все

[QUOTE=rezsky;275902]нашел и удалил... но не все[/QUOTE]Что значит не все? Какие остались?

извиняюсь я не точно выразился... нашел не все, а те что нашел удалил

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

еще хотел упомянуть... у меня тут в сети два компа и на обоих одно и тоже (про второй я вот - [url]http://virusinfo.info/showthread.php?t=29155[/url]) может они по сети друг от друга хапают это дело?

[QUOTE=rezsky;275908]
еще хотел упомянуть... у меня тут в сети два компа и на обоих одно и тоже (про второй я вот - [url]http://virusinfo.info/showthread.php?t=29155[/url]) может они по сети друг от друга хапают это дело?[/QUOTE]Я видел Ваш второй топик. Может, удалите второй комп из сети?

хорошо разединю...

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winsy52.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [lphccq3j0ea75] C:\WINDOWS\system32\lphccq3j0ea75.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winsy52');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy52.sys','');
DeleteFile('C:\WINDOWS\system32\blphccq3j0ea75.scr');
DeleteFile('C:\WINDOWS\system32\lphccq3j0ea75.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy52.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winsy52');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Спасибо. Сейцас я уже в другом месте. Завтра все сделаю. А что с моей второй темой?
[url]http://virusinfo.info/showthread.php?t=29155[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\microsoft common\\wuauclt.exe - [B]Trojan-Downloader.Win32.Agent.adtj[/B] (DrWEB: Win32.HLLW.Autoruner.2634)[*] c:\\windows\\system32\\oembios.exe - [B]Trojan-Spy.Win32.Zbot.ekg[/B] (DrWEB: Trojan.Proxy.3854)[/LIST][/LIST]