Спам при загрузке Windows

[Kopeicev]

У друга на компьютере обнаружил вирус при загрузке винды говорит "Для загрузки виндовс нужно отправить SMS на номер...". Заражённый файл пришёл через спам сообщение точнее через прекреплённый файл. Мне удалось загрузить систему и удалить с автозагрузки вредоносный процесс. Помогите удалить вирус с компьютера.

 

P.S. LOGи прилагаются.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 12 июля, 2009 пользователем Kopeicev

[thyrex]

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wsctf.exe','');
QuarantineFile('c:\windows\system32\winagent.exe','');
QuarantineFile('gqlpcypd.sys','');
DeleteService('gqlpcypd');
DeleteFile('gqlpcypd.sys');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('wsctf.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Обновить базы AVZ

Сделайте новые логи

[Kopeicev]

Скрипты выполнил, архив отправил, жду ответа....