Spyware infection

Здравствуйте!

На рабочем столе появляется сообщение: Your computer is infected! Windows has detected spyware infection!

Не дает запустить Антивирус.

avz запустилась только после ее переименования в game.pif
HijackThis - запустить не получается.

Вот логи

[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]C:\WINDOWS\System32\Drivers\Winor57.sys - force delete
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winor57.sys','');
QuarantineFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\L3FFLPGE\Install[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\Temp\.tt42.tmp.exe','');
BC_DeleteSvc('WZCSVCW32TimeNetman');
BC_DeleteSvc('WmiApSrvHidServCOMSysApp');
BC_DeleteSvc('WmiApSrvDhcpNtmsSvc');
BC_DeleteSvc('WebClientW32TimeseclogonseclogonLmHosts');
BC_DeleteSvc('WebClientW32Timeseclogon');
BC_DeleteSvc('WebClientTapiSrv');
BC_DeleteSvc('WebClientSamSsERSvc');
BC_DeleteSvc('WebClientSamSs');
BC_DeleteSvc('W32TimeSCardSvrRpcLocatorSSDPSRVWmiApSrvHidServCOMSysApp');
BC_DeleteSvc('W32TimeNetmanW32Time');
BC_DeleteSvc('W32TimeNetmanRDSessMgrDhcpMSDTCNetDDEdsdmRemoteAccessRpcLocator');
BC_DeleteSvc('W32TimeNetman');
BC_DeleteSvc('VSSupnphost');
BC_DeleteSvc('UMWdfRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('UMWdfCryptSvc');
BC_DeleteSvc('Themessrservice');
BC_DeleteSvc('TermServiceNtmsSvc');
BC_DeleteSvc('SysmonLogUMWdf');
BC_DeleteSvc('SpoolerSysmonLog');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessHidServNetman');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessHidServ');
BC_DeleteSvc('SpoolerNetDDEdsdmAudioSrvseclogon');
BC_DeleteSvc('SpoolerNetDDEdsdm');
BC_DeleteSvc('SpoolerALG');
BC_DeleteSvc('ShellHWDetectionWmiAudioSrvseclogon');
BC_DeleteSvc('ShellHWDetectionWmi');
BC_DeleteSvc('SharedAccessdmserver');
BC_DeleteSvc('SENSClipSrv');
BC_DeleteSvc('SCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserverMessengerWZCSVC');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdm');
BC_DeleteSvc('SCardDrvmnmsrvcThemes');
BC_DeleteSvc('SamSsEventlog');
BC_DeleteSvc('RSVPSpoolerNetDDEdsdmAudioSrvseclogon');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmiuploadmgrERSvc');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmiBITSSwPrvTermServiceNtmsSvc');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('RemoteAccessRpcLocator');
BC_DeleteSvc('RDSessMgrDhcpMSDTCNetDDEdsdmRemoteAccessRpcLocator');
BC_DeleteSvc('RDSessMgrDhcpMSDTCNetDDEdsdm');
BC_DeleteSvc('RasManRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('RasAutoAVP');
BC_DeleteSvc('ProtectedStorageRpcSs');
BC_DeleteSvc('PolicyAgentFastUserSwitchingCompatibility');
BC_DeleteSvc('PolicyAgentAudioSrv');
BC_DeleteSvc('NtLmSspNetDDE');
BC_DeleteSvc('NetDDEcisvc');
BC_DeleteSvc('MSDTCdmadminTermService');
BC_DeleteSvc('MSDTCdmadmin');
BC_DeleteSvc('MessengerWZCSVC');
BC_DeleteSvc('LmHostsSCardSvr');
BC_DeleteSvc('LmHostsProtectedStorage');
BC_DeleteSvc('HidServwinmgmt');
BC_DeleteSvc('HidServCOMSysApp');
BC_DeleteSvc('dmserverPolicyAgentFastUserSwitchingCompatibility');
BC_DeleteSvc('dmadminwinmgmtThemes');
BC_DeleteSvc('DhcpRpcLocatorWmiApSrv');
BC_DeleteSvc('DhcpRpcLocatorSpooler');
BC_DeleteSvc('DhcpRpcLocator');
BC_DeleteSvc('DhcpNtmsSvc');
BC_DeleteSvc('DhcpMSDTCRpcLocator');
BC_DeleteSvc('DhcpMSDTCNetDDEdsdm');
BC_DeleteSvc('DhcpMSDTC');
BC_DeleteSvc('CryptSvcWmiApSrv');
BC_DeleteSvc('Browserwuauserv');
BC_DeleteSvc('BITSSwPrvTermServiceNtmsSvc');
BC_DeleteSvc('AudioSrvseclogonTlntSvr');
BC_DeleteSvc('AudioSrvseclogon');
BC_DeleteSvc('AppMgmtSpoolerNetDDEdsdmAudioSrvseclogon');
BC_DeleteSvc('AppMgmtRemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('AppMgmthelpsvc');
BC_DeleteSvc('AlerterTapiSrv');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\system32\buritos.exe');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winor57.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\blphc3a8j0ee87.scr');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\L3FFLPGE\Install[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Карантин прислал.
Новые логи

[B]C:\WINDOWS\System32\Drivers\Winor57.sys обязательно удалять в icesword[/B] и только затем...
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('WebClientW32Timeseclogonseclogon');
BC_DeleteSvc('WebClientTapiSrvWmiApSrv');
BC_DeleteSvc('W32Timeseclogon');
BC_DeleteSvc('W32TimeSCardSvrRpcLocator');
BC_DeleteSvc('W32Timelanmanworkstation');
BC_DeleteSvc('uploadmgrERSvc');
BC_DeleteSvc('SwPrvTermServiceNtmsSvc');
BC_DeleteSvc('SSDPSRVWmiApSrvHidServCOMSysApp');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccess');
BC_DeleteSvc('ShellHWDetectionUPS');
BC_DeleteSvc('ScheduleNVSvc');
BC_DeleteSvc('SCardSvrSENS');
BC_DeleteSvc('SCardSvrRpcLocator');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserver');
BC_DeleteSvc('SCardDrvmnmsrvc');
BC_DeleteSvc('RpcSsstisvc');
BC_DeleteSvc('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
BC_DeleteSvc('ImapiServiceSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('EventSystemMSDTC');
BC_DeleteSvc('dmadminwinmgmt');
BC_DeleteSvc('CryptSvcWmiApSrvRpcSsstisvc');
BC_DeleteSvc('AudioSrvNetlogon');
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\buritos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winor57.sys');
DeleteFile('srv.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\karina.dat');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\K1Y30PM7\Install[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
[/code]
повторите логи ....

Спасибо за помощь. После выполнения первого скрипта, мне удалось открыть антивирус и удалить все оставшиеся вирусы.

логи где ?

Вот логи:

отключите антивирус ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('AudioSrvNetlogon');
BC_DeleteSvc('CryptSvcWmiApSrvRpcSsstisvc');
BC_DeleteSvc('dmadminwinmgmt');
BC_DeleteSvc('ImapiServiceSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('PolicyAgentRDSessMgr');
BC_DeleteSvc('PolicyAgentRDSessMgrdmadmin');
BC_DeleteSvc('RpcSsstisvc');
BC_DeleteSvc('SCardDrvmnmsrvc');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserver');
BC_DeleteSvc('SCardSvrRpcLocator');
BC_DeleteSvc('ScheduleNVSvc');
BC_DeleteSvc('SSDPSRVWmiApSrvHidServCOMSysApp');
BC_DeleteSvc('SwPrvTermServiceNtmsSvc');
BC_DeleteSvc('W32TimeSCardSvrRpcLocator');
BC_DeleteSvc('W32Timeseclogon');
BC_DeleteSvc('WebClientTapiSrvWmiApSrv');
BC_DeleteSvc('WebClientW32Timeseclogonseclogon');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
DeleteFile('C:\WINDOWS\System32\karina.dat');
DeleteFile('C:\WINDOWS\Temp\.tt42.tmp.exe');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

Логи:

[QUOTE=Murzik29;280778]Логи:[/QUOTE]
Где 3-й?

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\karina.dat','');
QuarantineFile('C:\WINDOWS\Temp\.tt42.tmp.exe','');
QuarantineFile('C:\WINDOWS\System32\braviax.exe','');
DeleteService('EventSystemMSDTC');
DeleteService('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
DeleteService('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
DeleteService('SCardSvrSENS');
DeleteService('ShellHWDetectionUPS');
DeleteService('SpoolerNetDDEdsdmSharedAccess');
DeleteService('uploadmgrERSvc');
DeleteService('W32Timelanmanworkstation');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
DeleteFile('C:\WINDOWS\Temp\.tt42.tmp.exe');
DeleteFile('C:\WINDOWS\System32\karina.dat');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('EventSystemMSDTC');
BC_DeleteSvc('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
BC_DeleteSvc('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('SCardSvrSENS');
BC_DeleteSvc('ShellHWDetectionUPS');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccess');
BC_DeleteSvc('uploadmgrERSvc');
BC_DeleteSvc('W32Timelanmanworkstation');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Логи:

пофиксите ...
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
больше ничего плохого ...

Спасибо огромное за помощь!

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O15 - Trusted Zone: *.ssaabb.com
[/CODE]и пропатчите систему: С такой голенькой Вы еще минут 5 побудете в сети незапятнанным.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\o\\local settings\\temporary internet files\\content.ie5\\l3fflpge\\install[1].exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\windows\\services.exe - [B]Trojan-Proxy.Win32.Small.qx[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\buritos.exe - [B]Hoax.Win32.Bravia.ir[/B] (DrWEB: Trojan.Packed.612)[*] c:\\windows\\system32\\karina.dat - [B]Backdoor.Win32.Small.eug[/B] (DrWEB: Trojan.Proxy.1739)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bgk[/B] (DrWEB: BackDoor.Bulknet.225)[*] c:\\windows\\system32\\winivstr.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[/LIST][/LIST]