Warning!Spyware detected on your computer!...

[wenger]

Симптомы похожие на описанные в предъидущихтемах:
На рабочем столе появилось изображение с надписью "Warning!Spyware detected on your computer!...".
В свойствах рабочего стола исчезли вкладки : "Рабочий стол" и "Заставка".
В спящем режим выходит синий экран с ошибкой, и скринсервер в виде "перезагрузки" системы.
После перезагрузки появляется сообщение: Ошибка(Отказано в доступе.) при загрузке сценария "C:\Documents and Settings\kr.MASHINA\LocalSettings\Temp\имя файла.vbs." А в журнале avast появляетса запись "VBS:Malware-gen" has been found in "C:\Documents and Settings\kr.MASHINA\Local Settings\Temp\.имя файла.vbs", хотя икаких сообщений он не выдает.
После подключения к интернету avast выдает сообщение "Win32:Agent-VGV [Wrm]" has been found in "C:\WINDOWS\System32\drivers\имя файла.sys".
Имя файла после каждой перезагрузки разное.
Заранее спасибо.

[Bratez]

На время выполнения скрипта отключите интернет и антивирус.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\kr.MASHINA\Шаблоны\WowTumpeh.com','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 QuarantineFile('C:\DOCUME~1\KRB3F8~1.MAS\LOCALS~1\Temp\loader.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\lphcpcqj0e98v.exe','');
 DeleteFile('C:\WINDOWS\system32\blphcpcqj0e98v.scr');
 DeleteFile('C:\WINDOWS\system32\lphcpcqj0e98v.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
 DeleteFile('C:\DOCUME~1\KRB3F8~1.MAS\LOCALS~1\Temp\loader.exe');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\braviax.exe');
 DeleteFile('C:\Documents and Settings\kr.MASHINA\Шаблоны\WowTumpeh.com');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportDeletedList;
 BC_DeleteSvc('Winyw72');
 BC_DeleteSvc('Winxs06');
 BC_DeleteSvc('Winxf08');
 BC_DeleteSvc('Winwr30');
 BC_DeleteSvc('Winvq66');
 BC_DeleteSvc('Winvd31');
 BC_DeleteSvc('Winqe77');
 BC_DeleteSvc('Winpn14');
 BC_DeleteSvc('Winmp43');
 BC_DeleteSvc('Winkr33');
 BC_DeleteSvc('Winjj06');
 BC_DeleteSvc('Winis45');
 BC_DeleteSvc('WINIO');
 BC_DeleteSvc('Winhc88');
 BC_DeleteSvc('Wingl25');
 BC_DeleteSvc('Wingi50');
 BC_DeleteSvc('Winfw33');
 BC_DeleteSvc('Winfd44');
 BC_DeleteSvc('Winek14');
 BC_DeleteSvc('Winck72');
 BC_DeleteSvc('Winbx40');
 BC_DeleteSvc('Winac88');
 BC_DeleteSvc('W32TimePnkBstrA');
 BC_DeleteSvc('TrkWksWZCSVCdmserver');
 BC_DeleteSvc('TrkWksWZCSVC');
 BC_DeleteSvc('Themeslanmanworkstation');
 BC_DeleteSvc('SharedAccessRSVP');
 BC_DeleteSvc('SandraDataSrvAppMgmt');
 BC_DeleteSvc('SandraDataSrv Search Service');
 BC_DeleteSvc('SamSsDcomLaunch');
 BC_DeleteSvc('RasManAlerterupnphost');
 BC_DeleteSvc('RasManAlerter');
 BC_DeleteSvc('PnkBstrBDhcp');
 BC_DeleteSvc('NetlogonSamSsDcomLaunch');
 BC_DeleteSvc('MSIServerPnkBstrAwuauserv');
 BC_DeleteSvc('MSIServerPnkBstrALmHosts');
 BC_DeleteSvc('MSIServerPnkBstrA');
 BC_DeleteSvc('MSDTCWmiApSrv');
 BC_DeleteSvc('MSDTC Office Groove Audit Service');
 BC_DeleteSvc('MessengerAudioSrv');
 BC_DeleteSvc('HidServNtLmSsp');
 BC_DeleteSvc('HidServNetDDEdsdm');
 BC_DeleteSvc('dmserverRDSessMgr');
 BC_DeleteSvc('dmadminHTTPFilter');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=28411).
Сделайте новые логи, начиная с п.10 правил.

[wenger]

Скрипт выполнен. Вот новые логи.

[wenger]

После выполнения скрипта:
Сообщение "Warning!Spyware detected on your computer!..." осталось, уже на синем фоне.
Вкладки "Рабочий стол" и "Заставка" в свойствах экрана надоступны.
avast сообщений о вирусах не выдает.

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SMrhctcqj0e98v] C:\Program Files\rhctcqj0e98v\rhctcqj0e98v.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\rhctcqj0e98v\rhctcqj0e98v.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Winlj18');
BC_DeleteSvc('Winhr58');
BC_DeleteSvc('Winai38');
BC_DeleteSvc('FastUserSwitchingCompatibilityMDM');
BC_DeleteSvc('DhcpMessenger');
BC_DeleteSvc('avast!wuauserv');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Сделайте еще раз новые логи, начиная с п.10 правил.

[wenger]

Сообщение "Warning!Spyware detected on your computer!..." исчезло.
Вернулись вкладки "Рабочий стол" и "Заставка" в свойствах экрана.

[wenger]

Что-то virusinfo_syscheck.zip не прикрепляется.
Появляется сообщение: "Вы уже вложили этот файл в теме : Warning!Spyware detected on your computer!..."

[pig]

Варианты:
- переименовать
- удалить старые (через Управление вложениями в Мой кабинет)
- выложить на файлообменник и дать здесь ссылку

[wenger]

Вот он

[wenger]

С тех про просканировала антивирусом с:\, он что-то нашел удалил.
Посмотрите пожалуйста логи нет ли там еще чего вредоносного.
А так с виду все нормально.

[Rene-gad]

В логах ничего плохого.
Поставьте Сервис Пак 3 и почитайте нашу книгу: http://security-advisory.virusinfo.info/

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\lphcpcqj0e98v.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Packed.600)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.u (DrWEB: Trojan.DownLoad.3503)