Три ярлыка на рабочем столе

[DarkinLeader]

О подобном вирусе уже говорилось на вашем сайте, поиск какой либо информации о личении его приводит именно к вам. К сожалению, я до этого не читал правила и использовал скрипты из подобной темы... Но так как "каждый случай уникален" (с)...
так вот, описание:
1)на рабочем столе три ярлыка: Error Cleaner, Privacy Protector, Spyware&Malware Protection
2)в свойствах ярлыков прописан адрес: http://viruswebprotect.com/shandler....=0&said=0&sg=1 , но если я не ошибаюсь то каждый раз адрес разный (это третий раз когда вирус себя проявляет)
3)Периодически на экране появляется сообщение:
Security Warning!
Worm.Win32.NetSky detected in your machine. далее идет рассказ о том какой это чертовски опасный вирус. В конце рассказа:
Type: Virus
System Affected: Windows 2000, NT, ME, XP, Vista
Security Risk (0-5): 5
Recomendations: click yes to remove it from your PC immediately
Ну а дальше две кнопки: Да и Нет
4)в трее висит значек: красный шестиугольник с белым крестом внутри. Этот значек периодически извергает всплывающее окно "System Alert" с расказом о том какай опасности подвергается мой компьютер.
5)приоритет открытых окон также периодически меняется.
6)"Диспетчер задач отключен администратором" (такое сообщение появляется при попытки запустить taskmgr)
7)также периодически открывается IExplorer (Хотя я использую оперу как браузер по умолчанию) и ведет меня на сайт sanitardiska.com, на котором обещают все это вылечить.
7)все попытки лечения до этого (с помощью SmitfraudFix) не увенчались успехом. Спустя какое то время вирус снова появлялся.

[Bratez]

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\QIP\Users\388194376\RcvdFiles\473848665_LordOfTheRealm\Pinch\pinch31.exe','');
 QuarantineFile('C:\Program Files\QIP\Users\388194376\RcvdFiles\473848665_LordOfTheRealm\Pinch\pinch3.exe','');
 QuarantineFile('C:\Documents and Settings\Dark-gg`\Рабочий стол\PEGlue32.exe','');
 QuarantineFile('C:\WINDOWS\sgoblxtm.dll','');
 QuarantineFile('C:\WINDOWS\nslbvxpgtkn.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\bwpupgdu\fyjszkhe.exe','');
 QuarantineFile('C:\WINDOWS\system32\wvUljIxu.dll','');
 QuarantineFile('C:\WINDOWS\system32\tuvVOHaW.dll','');
 QuarantineFile('C:\WINDOWS\system32\fslaratg.exe','');
 QuarantineFile('C:\WINDOWS\ogxtsepr.dll','');
 QuarantineFile('C:\WINDOWS\dsktbwfe.dll','');
 DeleteFile('C:\WINDOWS\dsktbwfe.dll');
 DeleteFile('C:\WINDOWS\ogxtsepr.dll');
 DeleteFile('C:\WINDOWS\system32\fslaratg.exe');
 DeleteFile('C:\WINDOWS\system32\tuvVOHaW.dll');
 DeleteFile('C:\WINDOWS\system32\wvUljIxu.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\bwpupgdu\fyjszkhe.exe');
 DeleteFile('C:\WINDOWS\nslbvxpgtkn.dll');
 DeleteFile('C:\WINDOWS\sgoblxtm.dll');
 DeleteFile('C:\Program Files\QIP\Users\388194376\RcvdFiles\473848665_LordOfTheRealm\Pinch\pinch3.exe');
 DeleteFile('C:\Program Files\QIP\Users\388194376\RcvdFiles\473848665_LordOfTheRealm\Pinch\pinch31.exe');
 DelBHO('{57ABA3CE-E927-4C81-BE2E-E20CAEC6645F}');
 DelBHO('{EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9}');
 DelBHO('{E847DB2D-9D34-4193-9ADA-0B4FF3AC953E}');
 DelBHO('{97EBE3CC-10A7-4619-B127-9B5D4FA476A8}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21529).
Сделайте новые логи.

[DarkinLeader]

Вот вроде всё сделал!Ета "дрянь" из тришки исщезла вроде больше не кричит...

[V_Bond]

пофиксите ...

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: (no name) - {E271CE0A-5497-4AF4-BD98-EAB897322B08} - C:\WINDOWS\system32\tuvVOHaW.dll (file missing)
O2 - BHO: (no name) - {EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9} - C:\WINDOWS\system32\wvUljIxu.dll (file missing)
O4 - HKLM\..\Run: [xflash] xflash.exe
O20 - Winlogon Notify: wvUljIxu - wvUljIxu.dll (file missing)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

выполните скрипт ..

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9}');
 DelBHO('{E271CE0A-5497-4AF4-BD98-EAB897322B08}');
 DeleteFile('wvUljIxu.dll');
 DeleteFile('xflash.exe');
 DeleteFile('C:\WINDOWS\system32\tuvVOHaW.dll');
 DeleteFile('C:\WINDOWS\system32\wvUljIxu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи начиная с пункта 10 правил ...

[DarkinLeader]

Все сделал.

[Bratez]

В логах чисто. Проблем больше нет?

[DarkinLeader]

Вроде нет!
Спасибо вам большое!

[Гриша]

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 31
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\application data\\bwpupgdu\\fyjszkhe.exe - Trojan.Win32.Obfuscated.gx (DrWEB: Trojan.DownLoader.63019)
  2. c:\\documents and settings\\dark-gg`\\рабочий стол\\peglue32.exe - Trojan-Dropper.Win32.Agent.ank (DrWEB: Tool.DropGen.1)
  3. c:\\windows\\dsktbwfe.dll - not-a-virus:AdWare.Win32.Vapsup.eba (DrWEB: Trojan.Popuper.6257)
  4. c:\\windows\\nslbvxpgtkn.dll - not-a-virus:AdWare.Win32.Vapsup.eba
  5. c:\\windows\\ogxtsepr.dll - not-a-virus:AdWare.Win32.Vapsup.eba (DrWEB: Trojan.Popuper.625
  6. c:\\windows\\sgoblxtm.dll - not-a-virus:AdWare.Win32.Vapsup.eba (DrWEB: Trojan.Popuper.6259)
  7. c:\\windows\\system32\\fslaratg.exe - Trojan.Win32.Obfuscated.gx (DrWEB: Trojan.Dout.201)
  8. c:\\windows\\system32\\tuvvohaw.dll - not-a-virus:AdWare.Win32.Virtumonde.qus (DrWEB: Trojan.Virtumod.based)
  9. c:\\windows\\system32\\wvuljixu.dll - not-a-virus:AdWare.Win32.Virtumonde.oiu (DrWEB: Trojan.Virtumod.based)