Вирус шлёт спам через icq , вконтакте , одноклассники

Вирус забрал пароли от всех квипов на компе - и шлёт с этих юинов спам , также вирус залез в контакте, одноклассники итд. Пароли не меняет нигде.


Вирус поймал отсюда - :http:llnl.ru/css/foto017.gif



Как его угадить ?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


В HiJackThis пофиксите:

[code]
O4 - HKLM\..\Run: [ATI Helper] C:\DOCUME~1\Lexus\LOCALS~1\Temp\svcgoost.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

[/code]


В AVZ выполните скрипт:

[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\System Volume Information\_restore{A32A5E70-D7B7-48B1-A3F5-46441F9A733E}\RP28\A0004950.dll','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-2E59DEA7.EXE','');
QuarantineFile('C:\DOCUME~1\Lexus\LOCALS~1\Temp\svcgoost.exe','');
DeleteService('dvljlsdj');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('PowerManager');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('c:\docume~1\lexus\locals~1\temp\svcgoost.exe','');
TerminateProcessByName('c:\docume~1\lexus\locals~1\temp\svcgoost.exe');
DeleteFile('c:\docume~1\lexus\locals~1\temp\svcgoost.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\DOCUME~1\Lexus\LOCALS~1\Temp\svcgoost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ATI Helper');
DeleteFile('C:\WINDOWS\system32\XP-2E59DEA7.EXE');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\System Volume Information\_restore{A32A5E70-D7B7-48B1-A3F5-46441F9A733E}\RP28\A0004950.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('dvljlsdj');
AddToLog(inttostr(BC_ServiceKill('wbpblvwam')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.