Похоже вирус, выходит картинка Warning! Spyware detected on your computer...

[KonstS]

Позвонили родственники, сказали, что компьютер пишет что-то про вирус и стал постоянно перезагружаться. На компе установлен Kerio.
Пробовали запускать KAV - не грузится. Принес с собой AVZ - то же самое. Попробовал запустить диспетчер задач - компьютер перезагрузился.
В безопасном режиме AVZ запустился, но при выполнении скипта закрылся. Логов не оставил. Прогнал AVZ по дискам без скриптов, удалил несколько тороянов. CureIt свежескачанный ничго не нашел. HijackThis, к сожалению, забыл с собой взять Попробовал запустить диспетчер задач - не получилось, диспетчер оказался заблокированным.
Перезапустил компьютер в обычный режим, промотрел процессы через диспетчер в far'е, в памяти нашлось несколько подозрительных процессов, пара из них занимали по 6,5Mb в памяти, другие поменьше. Сами файлы лежат в \windows\system32, там же лежали и картинки с сообщением о вирусе: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer".
Вот список файлов, которых не должно бы быть в system32:
06.02.2008 04:47 269*334 bipkb.bmp
07.02.2008 11:19 269*334 bqtojetcrqdgr.bmp
08.02.2008 15:35 19*311 burito.ini
06.02.2008 04:47 32*248 ctfmona.exe
09.02.2008 15:49 269*334 dcrqtsfalcbip.bmp
08.02.2008 00:39 269*334 dknqd.bmp
07.02.2008 15:21 7*994 dllgh8jkd1q1.exe
07.02.2008 15:21 7*994 dllgh8jkd1q2.exe
07.02.2008 15:21 7*994 dllgh8jkd1q5.exe
07.02.2008 15:21 13*962 dllgh8jkd1q6.exe
07.02.2008 15:21 14*398 dllgh8jkd1q7.exe
09.02.2008 17:37 0 dllgh8jkd1q8.exe
09.02.2008 17:37 269*334 fqhkjatkjihkb.bmp
08.02.2008 15:20 10 kr_done1
09.02.2008 16:24 269*334 lgfmdgbmdknqp.bmp
08.02.2008 15:38 269*334 lobed.bmp
07.02.2008 15:21 12*796 newmaxxsv234.exe
09.02.2008 16:25 269*334 pcjet.bmp
08.02.2008 15:14 269*334 qlobqlsr.bmp
09.02.2008 08:39 269*334 ratcr.bmp
07.02.2008 11:04 269*334 sbqpojihgbipgn.bmp
08.02.2008 15:20 62 svcp.csv
08.02.2008 16:12 269*334 tcjitofep.bmp
09.02.2008 02:47 269*334 tgnilsnapkf.bmp
08.02.2008 16:13 269*334 tkbahojadonep.bmp
08.02.2008 15:20 12*956 vedxg4am1et2.exe
08.02.2008 15:20 12*796 vedxga1me4t1.exe
08.02.2008 15:40 78*848 vedxga4m1et4.exe
08.02.2008 15:40 14*848 vedxga8me6.exe
07.02.2008 15:21 1 vx.tll
07.02.2008 15:20 17*872 wind32.exe
07.02.2008 15:21 4 winsub.xml

Это новый вирус, или что-то уже известное?

[akok]

Может и не новый но без логов ничего не скажешь

[KonstS]

Может и не новый но без логов ничего не скажешь

Отослал exe-шники на drweb и z-oleg, может быть включат в базы, на текущий момент пока не определяют.
Попробую завтра еще раз avz и HijackThis, логи вышлю.

[akok]

Мы и без новых семплов определим зловреда

[KonstS]

Может и не новый но без логов ничего не скажешь

Сегодня сделал логи.
В безопасном режиме прибил exe-ники из system32, копии оставил себе.
Остались нарушение ассоциации REG файлов и блокировка диспетчера задач

[akok]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('D:\WINDOWS\system32\wind32.exe','');
 QuarantineFile('D:\WINDOWS\system32\at.dll','');
 QuarantineFile('D:\WINDOWS\system32\wthunk32.dll','');
 QuarantineFile('D:\WINDOWS\system32\ctfmona.exe','');
 QuarantineFile('D:\WINDOWS\system32\adduser32.dll','');
 QuarantineFile('D:\WINDOWS\system32\newmaxxsv234.exe','');
 QuarantineFile('D:\WINDOWS\system32\vedxg6ame4.exe','');
 QuarantineFile('D:\WINDOWS\system32\taskmon.sys','');
 QuarantineFile('D:\WINDOWS\system32\drivers\ebnetbt.sys','');
 QuarantineFile('D:\WINDOWS\system32\Drivers\asc3550p.sys','');
 QuarantineFile('Wm20uottr.sys','');
 DeleteFile('D:\WINDOWS\system32\vedxg6ame4.exe');
 DeleteFile('D:\WINDOWS\system32\taskmon.sys');
 DeleteFile('D:\WINDOWS\system32\newmaxxsv234.exe');
 DeleteFile('D:\WINDOWS\system32\ctfmona.exe');
 DeleteFile('D:\WINDOWS\system32\wthunk32.dll');
 DeleteFile('D:\WINDOWS\system32\at.dll');
 DeleteFile('D:\WINDOWS\system32\wind32.exe');
 DeleteFile('D:\WINDOWS\taskmon.exe');
 DelBHO('{A12AF5FE-15E2-4195-BBCC-25E0FEDA6473}');
 BC_Activate;
 BC_ImportALL;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17814

Добавлено через 7 минут

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 
O4 - HKLM\..\Run: [SystemSv12] D:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKLM\..\Run: [System] D:\WINDOWS\system32\wind32.exe
O4 - HKCU\..\Run: [Service Pack 1] D:\WINDOWS\system32\vedxg6ame4.exe
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - D:\WINDOWS\system32\wthunk32.dll

Добавлено через 55 секунд

Повторите логи

[KonstS]

На том компе я прибил почти все эти фалы вручную.
До следующих выходных выполнить скрипты не получится (родственники живут неблизко).
AVZ и DrWeb уже знают этих зловредов (я отослал их в субботу), забрал их с собой, сейчас проверил.
DrWeb:
vedxg4am1et2.exe - инфицирован Trojan.Packed.350
vedxga1me4t1.exe - инфицирован Trojan.Packed.350
vedxga8me6.exe - инфицирован Trojan.Packed.350
AVZ:
newmaxxsv234.exe >>> подозрение на Trojan-Downloader.Win32.Tibs.uv ( 0B2BAE48 0005845E 00275AC3 00000000 12796)
vedxg4am1et2.exe >>>>> Trojan-Downloader.Win32.Tibs.uw
vedxga1me4t1.exe >>>>> Trojan-Downloader.Win32.Tibs.uv
vedxga4m1et4.exe >>>>> Trojan-Proxy.Win32.Agent.zd
vedxga8me6.exe >>>>> Trojan-Downloader.Win32.Tibs.uu
wind32.exe >>> подозрение на Trojan-Downloader.Win32.Tibs.ux ( 0B2E72E4 00087F98 0027E20A 00296D27 17872)