WARNING! Spyware detected on your computer

[IAMDR]

всё те же Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64

[Bratez]

Отключите восстановление системы!

На время выполнения фикса и скрипта отключите интернет и антивирус.

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe
O4 - HKLM\..\Run: [lphc5hsj0e39r] C:\WINDOWS\System32\lphc5hsj0e39r.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Games\ICQLite51\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Games\ICQLite51\ICQLite.exe (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\svohost.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt50.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\lphc5hsj0e39r.exe','');
 DeleteFile('C:\WINDOWS\System32\blphc5hsj0e39r.scr');
 DeleteFile('C:\WINDOWS\System32\lphc5hsj0e39r.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpt50.sys');
 DeleteFile('C:\WINDOWS\System32\svohost.exe');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('Winpt50');
 BC_DeleteSvc('WZCSVCWZCSVC');
 BC_DeleteSvc('WZCSVCdmadmin');
 BC_DeleteSvc('VSSTrkWksALGCiSvc');
 BC_DeleteSvc('VSSTrkWksALG');
 BC_DeleteSvc('upnphostALGAudioSrv');
 BC_DeleteSvc('TrkWksTapiSrv');
 BC_DeleteSvc('TrkWksALG');
 BC_DeleteSvc('ThemesShellHWDetection');
 BC_DeleteSvc('ThemesMSIServer');
 BC_DeleteSvc('ThemesAudioSrvSCardDrvWmdmPmSN');
 BC_DeleteSvc('ThemesAudioSrvERSvcHidServ');
 BC_DeleteSvc('ThemesAudioSrvERSvc');
 BC_DeleteSvc('ThemesAudioSrvAlerter');
 BC_DeleteSvc('ThemesAudioSrv');
 BC_DeleteSvc('TermServiceSharedAccessCiSvc');
 BC_DeleteSvc('SSDPSRVUMWdf');
 BC_DeleteSvc('SSDPSRVRSVPEventlogseclogonNtLmSsp');
 BC_DeleteSvc('SSDPSRVRSVP');
 BC_DeleteSvc('SSDPSRVRDSessMgr');
 BC_DeleteSvc('SpoolerNtLmSspRasMan');
 BC_DeleteSvc('SharedAccessCiSvc');
 BC_DeleteSvc('SENSNtmsSvc');
 BC_DeleteSvc('SchedulePlugPlay');
 BC_DeleteSvc('SCardSvrFastUserSwitchingCompatibility');
 BC_DeleteSvc('SCardDrvWmdmPmSN');
 BC_DeleteSvc('SCardDrvThemesAudioSrvERSvcHidServ');
 BC_DeleteSvc('RpcSsClipSrv');
 BC_DeleteSvc('RpcLocatorVSSTrkWksALGCiSvc');
 BC_DeleteSvc('RemoteAccessNetlogon');
 BC_DeleteSvc('RemoteAccessNetDDEdsdm');
 BC_DeleteSvc('RasAutoSCardSvr');
 BC_DeleteSvc('ProtectedStorageTrkWks');
 BC_DeleteSvc('PlugPlayRemoteAccessNetDDEdsdm');
 BC_DeleteSvc('PlugPlayPolicyAgent');
 BC_DeleteSvc('NtmsSvcWebClient');
 BC_DeleteSvc('NtLmSspRasMan');
 BC_DeleteSvc('NtLmSspRasAuto');
 BC_DeleteSvc('NetmanWZCSVC');
 BC_DeleteSvc('NetmanWmdmPmSNTrkWks');
 BC_DeleteSvc('NetmanWmdmPmSN');
 BC_DeleteSvc('NetlogonWZCSVC');
 BC_DeleteSvc('MSDTCRpcSs');
 BC_DeleteSvc('LmHostsSENSNtmsSvc');
 BC_DeleteSvc('LmHostsClipSrv');
 BC_DeleteSvc('lanmanserverClipSrv');
 BC_DeleteSvc( 'kavsvclanmanserverSCardSvrFastUserSwitchingCompatibility');
 BC_DeleteSvc('kavsvclanmanserverCOMSysApp');
 BC_DeleteSvc('kavsvclanmanserver');
 BC_DeleteSvc('EventlogseclogonNtLmSsp');
 BC_DeleteSvc('Eventlogseclogon');
 BC_DeleteSvc('dmserverTapiSrvEventSystem');
 BC_DeleteSvc('dmserverTapiSrv');
 BC_DeleteSvc('CryptSvchelpsvc');
 BC_DeleteSvc('AudioSrvSENSNtmsSvc');
 BC_DeleteSvc('ALGAudioSrv');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29099).

Сделайте новые логи.

[IAMDR]

карантин отправил
новые логи

[Bratez]

Лечение прошло успешно. Для зачистки оставшихся следов -

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('WmiApSrvTrkWks');
 BC_DeleteSvc('NetmanWmdmPmSNLmHostsClipSrv');
 BC_DeleteSvc('NetlogonNetDDE');
BC_Activate;
RebootWindows(true);
end.

Вот это у вас очень плохо:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Настоятельно рекомендуется обновить систему до SP3.

[IAMDR]

выполнил

при входе в Windows ненадолго всё-таки появляется эта надпись

[Rene-gad]

- Выполните скрипт

Код:

begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.

После перезагрузки проинформируйте о состоянии ПК.

[IAMDR]

по-прежнему при входе в windows ненадолго появляется надпись

[Rene-gad]

по-прежнему при входе в windows ненадолго появляется надпись

Попробуйте почистить реестр напр. CCleaner.

[IAMDR]

выполнил очистку,окно по-прежнему появляется
как это ещё можно исправить?
по сути же зараза была удалена?

[Rene-gad]

Скачайте Malwarebytes Antimalware, скан, ничего не удалять, лог -в студию.

[IAMDR]

выполнил

[Rene-gad]

как это ещё можно исправить?

- Выполните скрипт

Код:

begin
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.

После перезагрузки проинформируйте о состоянии ПК.

[IAMDR]

проблема устранена,большое спасибо!
нужно ли удалять заражённые файлы найденные Malwarebytes Antimalware?

[Rene-gad]

проблема устранена,большое спасибо!
нужно ли удалять заражённые файлы найденные Malwarebytes Antimalware?

Да, спасибо

REMEMBER!!!

Настоятельно рекомендуется обновить систему до SP3.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\lphc5hsj0e39r.exe - Backdoor.Win32.Agent.qfj (DrWEB: Trojan.Packed.619)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azv (DrWEB: Trojan.DownLoad.3503)