Надпись: Warning! spyware detected on your computer!

Изменился цвет рабочего стола. На нем висит картинка с надписью Warning! spyware detected on your computer!

Отключился антивирус (Norton 360). После запуска ничего не находит

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\Windows\System32\winhelp32.exe','');
QuarantineFile('C:\Windows\System32\vmmreg32.dll','');
DeleteFile('C:\Windows\System32\vmmreg32.dll');
DeleteFile('C:\Windows\System32\winhelp32.exe');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.sys');
DeleteFile('C:\Windows\System32\vmmreg32.bkp');
DeleteFile('C:\Windows\System32\winhelp32.bkp');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.bkp');
BC_ImportDeletedList;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=28396[/url]).
Сделайте новые логи, начиная с п.10 правил.

Карантин отправил. Новые логи ниже

virusinfo_syscheck.zip не грузится. Пишет "Превышен предел на форуме (19.5 Кбайт)". Как его загрузить?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

На всякий случай: ссылка на логи в файлообменнике (оба файла в одном архиве)
[url]http://rapidshare.com/files/138433688/logi.rar.html[/url]

1. Повторяю:[b]Отключите восстановление системы![/b]

2. С помощью IceSword, как описано здесь: [url]http://virusinfo.info/showthread.php?t=17228[/url], удалите следующие файлы:
C:\Windows\System32\vmmreg32.dll
C:\Windows\System32\winhelp32.exe
C:\Windows\SYSTEM32\VIDEO.sys
C:\Windows\System32\vmmreg32.bkp
C:\Windows\System32\winhelp32.bkp
C:\Windows\SYSTEM32\VIDEO.bkp

3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\System32\vmmreg32.dll');
DeleteFile('C:\Windows\System32\winhelp32.exe');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.sys');
DeleteFile('C:\Windows\System32\vmmreg32.bkp');
DeleteFile('C:\Windows\System32\winhelp32.bkp');
DeleteFile('C:\Windows\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\Windows\system32\blphca8nj0en9o.scr');
BC_ImportDeletedList;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. Сделайте новые логи, начиная с п.10 правил.

Мне кажется, что восстановление системы отключено (снимок экрана в прикрепленном файле). Остальные рекомендации выполняю. Спасибо

IceSword не запускается. Пишет: "Initialize failed[1]!".
Что делать?

попробуйте в safe mode

[QUOTE=V_Bond;270112]попробуйте в safe mode[/QUOTE]
Не запускается. Та же ошибка

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Переименованный в hockey.pif тоже не запускается

у вас виста ... IceSword запускаете правой кнопкой от имени администратора ?

да

[URL="http://www.x2b.ru/get/995"]скачать[/URL] ...
tools - wipe/copy file - browse и находим файлы
- direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...

В дополнение к V_Bond если не сработает:

Скачать: [url]http://freenet-homepage.de/rene-gad/123.zip[/url]
Распаковать не в темп-папку.
Файл 123.pif - переименованный Avenger - запустить.
Подтвердить все, откроется окно.
Скопировать туда скрипт
[CODE]files to delete:
C:\Windows\System32\vmmreg32.dll
C:\Windows\System32\winhelp32.exe
C:\Windows\SYSTEM32\VIDEO.sys
C:\Windows\System32\vmmreg32.bkp
C:\Windows\System32\winhelp32.bkp
C:\Windows\SYSTEM32\VIDEO.bkp[/CODE]
Запустить.
ПК уйдет в ребут.
После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
Откроется окошко с логом. Его сохранить и прикрепить к сообщению.

[QUOTE=V_Bond;270146][URL="http://www.x2b.ru/get/995"]скачать[/URL] ...
tools - wipe/copy file - browse и находим файлы
- direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...[/QUOTE]
Спасибо, сработало. Все сделал. Ссылка на новые логи:
[url]http://rapidshare.com/files/138455993/logi-2.rar.html[/url]

(почему то опять пишет о превышении размера)

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

[QUOTE=Rene-gad;270162]В дополнение к V_Bond если не сработает:
[/QUOTE]

Спасибо, вроде бы сработал предыдущий совет.

логи лучше прикрепить или выложить на нормальный файлообменник ...

Один загрузился... А второй пока никак.

Какой файлообменник будет удобнее?

Так. Вот и второй

похоже чисто .... (два оставшихся лога выложите на slil.ru)

[QUOTE=V_Bond;270250]похоже чисто .... (два оставшихся лога выложите на slil.ru)[/QUOTE]попробуйте выложить сюда: по сообщению администрации ощибка д.б. исправлена, заодно и проверим ;)

[QUOTE=V_Bond;270250]похоже чисто .... [/QUOTE]
1. Цвет экрана не изменился - все еще синий
2. При запуске появляется несколько окон, что-то там не запускается.
3. Антивирус при перезапуске не запускается.

[QUOTE=V_Bond;270250] (два оставшихся лога выложите на slil.ru)[/QUOTE]
Простите, какие логи надо выложить? Я не совсем понял.

Вот... Еще раз сделал и выкладываю логи

Я почему-то не вижу своих последних сообщений!!!

[size="1"][color="#666686"][B][I]Добавлено через 36 секунд[/I][/B][/color][/size]

upd. Ложная тревога, все в порядке, появились

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Да, и еще: программы из папки "Автозагрузка" при старте компьютера не запускаются

[QUOTE=karpov67;270253]
Простите, какие логи надо выложить? Я не совсем понял.[/QUOTE]
нужно сделать 3 лога начиная с пункта 8 правил ... т.е одного не хватает + логи делать запустив авз от имени администратора

Сделал. Логи ниже

пофиксите ...
[code]
O4 - S-1-5-18 User Startup: VIDEO.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: vmmreg32.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: winhelp32.bkp (User 'SYSTEM')
O4 - .DEFAULT User Startup: VIDEO.bkp (User 'Default user')
O4 - .DEFAULT User Startup: vmmreg32.bkp (User 'Default user')
O4 - .DEFAULT User Startup: winhelp32.bkp (User 'Default user')
O4 - User Startup: VIDEO.bkp
O4 - User Startup: vmmreg32.bkp
O4 - User Startup: winhelp32.bkp
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global User Startup: VIDEO.bkp
O4 - Global User Startup: vmmreg32.bkp
O4 - Global User Startup: winhelp32.bkp
[/code]
hijackthis.log повторите ....

Сделал. Сообщение об ошибках при запуске пропали.
Фон по-прежнему на месте, антивирус при запуске (да и другие программы) не загружается.

Лог ниже

ничего плохого не видно ....
[URL="http://softsearch.ru/programs/47-054-startup-extractor-download.shtml"]поправить автозапуск[/URL]

Спасибо. Автозапуск поправил. Так что, все вылечили? А что это было?

[QUOTE=karpov67;270436]Так что, все вылечили?
[/QUOTE]
плохого ничего не видно
[QUOTE=karpov67;270436]
А что это было?[/QUOTE]
у меня пока нет ответов по вашему карантину ...

СПАСИБО ЗА ПОМОЩЬ! А когда будет информация по крантину?

[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]

Нет, не работает:
1. Автозапуск восстановить не удается.
2. Антивирус в ручную запускается как-то странно, не стабильно. Очень долго, или даже со второго раза

Логи присылать?

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders экспортируйте ветку ....

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\video.sys - [B]Trojan-PSW.Win32.Agent.knw[/B] (DrWEB: Trojan.Siggen.172)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan.Win32.BHO.gcs[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.knx[/B] (DrWEB: Trojan.MulDrop.18472)[/LIST][/LIST]