XP Security Center

Помогите удалить эту заразу. Она блокирует Касперского и постоянно напоминает, что комп заражен и рекомендует скачать кучу ерунды.

На время выполнения скриптов, отключитесь от сети и отключите антивирусные мониторы ( и Касперского, и Spy Hunter )
Пофиксите с помощью Hijackthis строки: [code]O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\buritos.exe');
QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\system32\dns-sd.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Documents and Settings\Бах\Local Settings\Temporary Internet Files\Content.IE5\RFFMVFIJ\Install[2].exe','');
StopService('autorun');
StopService('Winuj08');
StopService('Beep');
SetServiceStart('Beep', 4);
SetServiceStart('Winuj08', 4);
SetServiceStart('autorun', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winuj08.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
BC_DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winuj08.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winuj08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('c:\huadio.tmp');
BC_DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINDOWS\system32\karina.dat');
BC_DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
BC_DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\Documents and Settings\Бах\Local Settings\Temporary Internet Files\Content.IE5\RFFMVFIJ\Install[2].exe');
BC_DeleteFile('C:\Documents and Settings\Бах\Local Settings\Temporary Internet Files\Content.IE5\RFFMVFIJ\Install[2].exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteService('autorun');
DeleteService('Beep');
DeleteService('Winuj08');
DeleteService('CryptSvcBrowser');
DeleteService('RemoteAccessShellHWDetection');
DeleteService('RpcLocatorWebClient');
DeleteService('stisvcRasAuto');
DeleteService('wuauservSamSs');
DeleteService('xmlprovShellHWDetection');
BC_DeleteSVC('autorun');
BC_DeleteSVC('Beep');
BC_DeleteSVC('Winuj08');
BC_DeleteSVC('CryptSvcBrowser');
BC_DeleteSVC('RemoteAccessShellHWDetection');
BC_DeleteSVC('RpcLocatorWebClient');
BC_DeleteSVC('stisvcRasAuto');
BC_DeleteSVC('wuauservSamSs');
BC_DeleteSVC('xmlprovShellHWDetection');
Delwinlogonnotifybykeyname('WinCtrl32');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=29921[/url] , как написано в прил.3 правил, и повторите логи.

спасибо за помощь. но проблема все на месте.

Да уж... Качайте [url=http://virusinfo.info/showthread.php?t=17228]IceSword[/url]. Ищите и удаляйте файлы: [code]C:\WINDOWS\system32\Drivers\Winuj08.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\karina.dat
c:\huadio.tmp[/code] Перед удалением, по возможности, сохраните их, как написано [url=http://virusinfo.info/showthread.php?t=17109]здесь[/url]. Обязательно перезагрузите машину после удаления. После перезагрузки, повторно выполните рекомендации из поста #2 , с одним изменением: логи повторите, начиная с п. 10 правил.

к сожалению, он прописался, видимо, надолго.

Это лог по п.12, где еще логи?
Пункт 2 правил выполнен?

Остальные логи почему-то не загрузились. Но уже не надо. Избавилась от заразы. Огромное спасибо за помощь!!!! :D

Надо. Удалите старые логи через Мой кабинет/Вложения и загрузите новые.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082878.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082879.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082906.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082962.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083088.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083089.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083159.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083170.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083193.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083198.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[/LIST][/LIST]