Win32/PrivacyRemover.M64

Собственно, вылетает при загрузке WinXP такое окошко.
А потом на рабочем столе Danger!
Стоит drWeb.
Как убрать данное окно или вирус?

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winov42');
BC_DeleteSvc('Winjq06');
BC_DeleteSvc('Winip31');
BC_DeleteSvc('Winio52');
BC_DeleteSvc('Winag84');
BC_DeleteSvc('AntiSpyWareProFilter');
BC_DeleteSvc('WudfSvcsrservice');
BC_DeleteSvc('WmiApSrvSwPrvmnmsrvcNetDDEdmserver');
BC_DeleteSvc('WmiApSrvSwPrv');
BC_DeleteSvc('winmgmtRemoteAccess');
BC_DeleteSvc('UPSRemoteRegistry');
BC_DeleteSvc('UPSNtLmSspUPSNtLmSspALG');
BC_DeleteSvc('UPSNtLmSspALG');
BC_DeleteSvc('UPSNtLmSsp');
BC_DeleteSvc('ThemesTrkWks');
BC_DeleteSvc('SysmonLogNVSvc');
BC_DeleteSvc('ThemesThemes');
BC_DeleteSvc('TermServiceSSDPSRVRemoteRegistry');
BC_DeleteSvc('SysmonLogImapiService');
BC_DeleteSvc('SSDPSRVRemoteRegistry');
BC_DeleteSvc('ShellHWDetectionRpcLocatorsrserviceWebClient');
BC_DeleteSvc('SharedAccessTlntSvr');
BC_DeleteSvc('SharedAccessERSvc');
BC_DeleteSvc('SENSTlntSvr');
BC_DeleteSvc('SCardSvrThemes');
BC_DeleteSvc('RSVPmnmsrvc');
BC_DeleteSvc('RSVPCOMSysApp');
BC_DeleteSvc('RpcLocatorsrserviceWebClient');
BC_DeleteSvc('RpcLocatorsrservice');
BC_DeleteSvc('RDSessMgrwuauservSysmonLogUPS');
BC_DeleteSvc('RasManAudioSrv');
BC_DeleteSvc('ProtectedStorageRSVP');
BC_DeleteSvc('ProtectedStoragedmserver');
BC_DeleteSvc('PolicyAgentBrowserAppMgmtRpcLocator');
BC_DeleteSvc('PolicyAgentBrowserAppMgmt');
BC_DeleteSvc('PolicyAgentBrowser');
BC_DeleteSvc('PlugPlayFastUserSwitchingCompatibility');
BC_DeleteSvc('NtLmSspUPSNtLmSspUPSNtLmSspALG');
BC_DeleteSvc('NtLmSspNetman');
BC_DeleteSvc('mnmsrvcNetDDEdmserver');
BC_DeleteSvc('mnmsrvcNetDDE');
BC_DeleteSvc('MDMTermServiceSSDPSRVRemoteRegistry');
BC_DeleteSvc('HTTPFilterSharedAccessERSvc');
BC_DeleteSvc('HTTPFilterAppMgmtdmadmin');
BC_DeleteSvc('EventSystemHTTPFilter');
BC_DeleteSvc('ERSvcEventlog');
BC_DeleteSvc('DhcpAppMgmtdmadmin');
BC_DeleteSvc('DcomLaunchdmserver');
BC_DeleteSvc('CryptSvcWmi');
BC_DeleteSvc('AudioSrvClipSrv');
BC_DeleteSvc('AppMgmtdmadminCryptSvc');
BC_DeleteSvc('AppMgmtdmadmin');
BC_DeleteSvc('ALGThemesThemes');
TerminateProcessByName('c:\windows\system32\lphc9lwj0eg7c.exe');
QuarantineFile('c:\windows\system32\lphc9lwj0eg7c.exe','');
DeleteFile('c:\windows\system32\lphc9lwj0eg7c.exe');
DeleteFile('C:\Program Files\ASWPro\SSS.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winag84.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winio52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winip31.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winjq06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winov42.sys');
DeleteFile('C:\WINDOWS\system32\blphc9lwj0eg7c.scr');
DeleteFile('C:\Program Files\ASWPro\ASWPro.exe');
DeleteFile('C:\WINDOWS\system32\lphc9lwj0eg7c.exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Documents and Settings\natasha\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

СПАСИБО! С экрана и из предзагрузки все пропало.
Карантин выслал.
Это логи после лечения

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\MS32DLL.dll.vbs','');
BC_DeleteSvc('SysmonLogUPS');
BC_DeleteSvc('RDSessMgrwuauserv');
DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Выполнил.
Логи прилагаю

ничего подозрительного ....

Огромное спасибо!!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\lphc9lwj0eg7c.exe - [B]Backdoor.Win32.Frauder.fk[/B] (DrWEB: Trojan.Packed.636)[/LIST][/LIST]