Warning! Spyware detected on your computer

[Игорь Владимирович]

Просмотрел просьбы о помощи за последние несколько дней и понял что я далеко не одинок в своих... неприятностях, скажем
так...
Но всё же опишу подробно свой вариант – возможно, вам это будет нужно или просто интересно:
Началось с того что, придя вечером с работы, узнал от жены, что с компом какие-то проблемы. Мы меньше месяца назад провели
Акадо, раньше пользовались дома низкоскоростным телефонным модем-соединением с повремянкой... Это я к тому, что когда
начались "странности", жена просто прекратила работу и не догадалась вырубить инет подключение (бесплатно же). Короче комп
после атаки полдня до моего прихода был доступен для... "гостей" из сети - файрвола то нет. Не знаю "помогло" ли это
кому-нибудь, но факт утаивать считаю нецелесообразным.
А теперь о сути коротко - то что я застал на компе по приходу:
1.Работа заставки (что я достаточно быстро понял, слава богу!) "синий экран смерти с имитацией перезагрузки".
2.На рабочем столе табличку "Warning! Spyware detected on your computer!"и т.д.(неоднократно описанную предыдущими
просителями)
3.В свойствах экрана осталось только три вкладки (темы, оформление, параметры).
Моя реакция: Честно говоря, вначале, погрешив на своего 16-ти летнего отпрыска, так же в тот день имевшего доступ к компу, я
тупо удалил из папки C:\WINDOWS\system32 эту... "заставку".
После, обнаружив отсутствие вкладок в свойствах экрана и поняв что отпрыску такое не под силу (моему точно!), я взялся за ум
и врубил полную проверку Dr.Web с предварительно обновленными базами.
Похрюкав пару-тройку часов Dr.Web переместил мне в карантин Exploit.PDF.5 на чем и успокоился... в отличии от меня. Удалив
из карантина Exploit.PDF.5 и перезагрузив комп я, поняв что ничего не восстановилось, нашел в инете Protector Plus for
Windows и запустил в работу его... Поконфликтовав немного с Dr.Web (пока я не вырубил мониторинг Dr.Webа) Protector Plus
удалил найденный им в нескольких местах какой-то Virut (кажется). Далее (во избежание дальнейших конфликтов с Dr.Web) я
деинсталлировал Protector Plus, перезагрузил систему, переустановил Windows (в режиме обновления) и убедившись в том что воз
и поныне там... я, совсем уже задумавшись о формате С, случайно наткнулся в сети на ваш сайт и уверовав в ваше могущество
понял, что возможно еще не все потеряно.
И вот теперь я прошу вас: посмотрите пожалуйста - можете ли вы чем-нибудь помочь мне?
Кстати! Незадолго до всего этого у меня бесследно пропали куда-то все точки восстановления системы, посему этой чудесной
возможности я был лишен... Хотя подозреваю что и это меня не спасло бы. Кстати и в этой пропаже я, каюсь, винил своего
киндера (хотя и небезосновательно - были грешки ) и надеясь на Dr.Web тревогу не бил... и видимо зря...
P.S. Пару тройку месяцев назад стала глючить клавиатура - выполнять не нужные мне функции: после включения компа разлиные
кнопки вызывали открытие определенных окон. Печатать тексты было невозможно, пока не нашел способ отключения этого
безобразия, а именно: Нажатием буквы u (или г - без разницы) вызывал открытие окна диспетчера служебных программ, из него
запускал экранную клавиатуру, далее, на ней уже, дважды (мышью!) нажимал кнопку вызова окна пуск и после его появления все
приходило в норму, и закрыв все не нужные окна можно было продолжать работу... Правда не всегда надолго - после какой-то
последовательности моих действий в процессе работы на компе, все внезапно могло повторится... Переустановка драйвера клавы и
попытка восстановления системы из точки до появления этого глюка ничего не дало (Прим.:прогу Punto Switcher использую не один
год, но ничего подобного раньше не было).
И последнее: Сейчас в процессе выполнения второго пункта диагностики - "Скрипт сбора информации для раздела "Помогите!"
virusinfo.info" открылось 48 окон "Мой компьютер". Это нормально?
Если что, то прошу прощения за, возможно, излишние подробности и многословность.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\lphc12sj0eac1.exe','');
 DeleteFile('C:\WINDOWS\system32\lphc12sj0eac1.exe');
BC_ImportDeletedList;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Игорь Владимирович]

после выполнения скриптов рабочий стол очистился и вкладки вернулись. Спасибо! А карантин выслать не получается - он пуст. Сейчас на компе выполняются логи (пишу с другого). Как закончу - пришлю.

[Игорь Владимирович]

Закончил с логами. Кстати в процессе их выполнения снова открывалось по 50 окон "Мой компьютер"... Почему-то не получается загрузить файл "syscheck.zip"
Вот сейчас что-то появилось в папке карантина... высылаю.
А что вы можете сказать мне по поводу клавиатурных выкрутасов? Они остались... И как насчет того что куда-то пропали все точки восстановления....

[Игорь Владимирович]

Получен ли мой карантин?

[Bratez]

Нажатием буквы u (или г - без разницы) вызывал открытие окна диспетчера служебных программ

Если клавишу Win вы при этом не удерживали, значит она у вас западает (такой флажочек Windows, рядом с Ctrl и Alt).

Логи сейчас гляну...

Добавлено через 7 минут

Все нормально, только вот это можно пофиксить в HijackThis:

Код:

O4 - HKLM\..\Run: [InvalidDelete] C:\DOCUME~1\I\LOCALS~1\Temp\KYE\Setup.exe /Delete C:\Program Files\Genius NetScroll Series Mouse
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

И как насчет того что куда-то пропали все точки восстановления....

Ну дык:

Восстановление системы: Отключено

[Игорь Владимирович]

Нет не удерживал... И... механически она работает как и все другие... Странно... А точки восстановления пропали недели три назад, при том что отключил-то я ее собственноручно только сегодня при выполнении логов... до этого была включена, но точек не создавала, точнее похоже стирала сама за собой все кроме последней :-)

[Bratez]

механически она работает как и все другие...

Справа от пробела есть (может быть) еще одна Win.

[Игорь Владимирович]

Не... там Alt Gr - клава Ay-TECH Model kbs-21

[Bratez]

Alt Gr - понятно, а еще правее?

[Игорь Владимирович]

дальше кнопка с непонятым значком... типа калькулятора со стрелочкой что ли... но выполняет она функцию правой кнопки мыши для выделенного в данный момент на экране объекта, дальше Ctrl и все. Да ладно - если это не шпион то фиг с ним не так уж и напрягает пока... просто интересно что это и откуда. Дружок программер издевается, мол пить за компом надо меньше, намекая на то что я сам установил какую-то прогу клавиатурную да и забыл ;-)
Сейчас пофиксил что Вы сказали... А что это было?

Я заметил во время выполнения логов, что AVZ выполняет проверку только диска С, а как же диск E? (у меня винт разбит на C и E)
Так же непонятно расхождение в инструкциях правил на сайте и в версии скачиваемой для локальной работы. На сайте говорится что нужно воспользоваться "Антивирусная лечащая утилита AVPTool (около 25 Мб, производитель – Лаборатория Касперского)" а в локальной инструкции об этом даже не упоминается. Я пользовался перед обращением к вам скачанной инструкцией и утилитой Касперского не воспользовался. После перечитав правила на сайте, решил восполнить этот пробел. И снова возникли вопросы: во время работы утилиты в защищенном режиме (при входе под администратором) не производится проверка по пути C:\Documents and Settings\I\, так как к папке I нет доступа. После проверки перезагрузил в обычный режим, снова запустил утилиту и именно в этой пропущенной папке нашлись два трояна. Кстати и Dr.Web и Protector Plus их пропустили... а ведь перед этим Dr.Web пропустил Exploit.PDF.5 найденный позже Protectorом... Вот я и думаю... может мне стоит еще пару-тройку АВП поставить - может и они чего найдут?
Посылаю на всякий случай результат сбора инфы AVPTool
Или нужно повторить логи?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены