Spyware detected on your computer

[Blysys]

Здравствуйте!
Прошу Вашей помощи!
У меня на рабочем столе появились обои с надписью: "Spyware detected on your computer. Install an antivirus or spyware remover to clean your computer."
И еще запускался фальшивый "синий экран". После того, как я вручную повыковыривал вирусы - "синий экран" меня больше не тревожит, но запускается очень много процессов svchost.exe и iexplore. Причем если я в папке program files\Internet explorer переименовываю файл iexplore, то тут же появляется новый.
Так же я не могу поставить антивирус Касперского, видимо установку блокирует вирус.
К сожалению, не могу прикрепить логи, выскакивает окно следующего содержания:
Blysys, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
2. Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

[Rene-gad]

Закачайте логи на любой доступный файлообменник и дайте тут ссылку.

[Blysys]

логи

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\winras.exe,
O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\KATEST~1\LOCALS~1\Temp\csrssc.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('tcpsr');
 DeleteService('Kka80');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kka80.sys','');
 QuarantineFile('C:\DOCUME~1\KATEST~1\LOCALS~1\Temp\csrssc.exe','');
 QuarantineFile('C:\WINDOWS\system32\winras.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\b04b9b0f.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Yfrc32.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\Yfrc32.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\b04b9b0f.sys');
 DeleteFile('C:\WINDOWS\system32\winras.exe');
 DeleteFile('C:\DOCUME~1\KATEST~1\LOCALS~1\Temp\csrssc.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kka80.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Kka80');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Blysys]

Отправляю новые логи

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\zqkd812.exe');
QuarantineFile('C:\WINDOWS\system32\zqkd812.exe','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин - если не пустой- по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Blysys]

новая порция логов

[Rene-gad]

Мы на верном пути, еще 2568 ведер - и Золотой ключик будет наш (С)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteService('Google Online Services');
 QuarantineFile('C:\Documents and Settings\KATE Starshowa\ie_updates3r.exe','');
 DeleteFile('C:\Documents and Settings\KATE Starshowa\ie_updates3r.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Google Online Services');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин - если не пустой- по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Blysys]

Обновленные логи

[Rene-gad]

Удалите Spyware Doktor вместе с Keygen ом для него. Вместо этого установите Сервис Пак 3 и почитайте книгу: http://security-advisory.virusinfo.info/
В логах чисто.

[Blysys]

А как можно восстановить обои на рабочем столе и свойства папки в проводнике?

[Rene-gad]

А как можно восстановить обои на рабочем столе и свойства папки в проводнике?

Выполните скрипт

Код:

begin
executerepair(5);
executerepair(8);
executerepair(16);
RebootWindows(true);
end.

Проверьте после перезагрузки.
Обои возможно придется новые наклеить

[Blysys]

Спасибо, но еще не хватает закладки "Заставка", и при запуске любого html файла выскакивает окно типа: "Windows не удалост найти (тот файл который я запускал)...... Укажите правильный путь ........." нажимаю ОК, в браузере появляется следующее: "Работа в режиме совместимости, когда включены не все возможности". Что-то можно с этим сделать? Заранее спасибо.

[Rene-gad]

Выполните скрипт

Код:

begin
executerepair(1);
executerepair(2);
executerepair(3);
executerepair(4);
RebootWindows(true);
end.

Проверьте после перезагрузки.

[Blysys]

Скрипт выполнил. Вкладка заставка так и не появилась. Высылаю логи.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Beep');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\beeper.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
 DeleteFile('C:\WINDOWS\system32\blphcglwj0ea6t.scr');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Beep ');    
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
ExecuteRepair(8 );    
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Blysys]

Спасибо! Закладка "Засиавка" появилась. Высылаю новые логи. А можно узнать что за гадость я подцепил.

[Гриша]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

В логах чисто,жалобы есть?

[Blysys]

Большое спасибо! Жалоб вроде бы пока нет. А не скажите, что за гадость у меня была?

[Гриша]

Много чего,в основном спамботы,точного названия не скажу,карантин я не смотрел