Вирусный баннер

[sayan160]

Непонятно откуда поймал вирусный баннер какого-то порносайта. Обнаружился при очередном включении компьютера.
По центру экрана высвечивается порнокартинка с текстом *Вы установили бесплатный банер для входа на наш сайт. Срок действия банера 30 суток. Если ВЫ хотите преждевременно удалить банер, пошлите SMS 133670 на номер 9800 для получения кода удаления*
Баннер без элементов управления, занимает всю центральную часть экрана поверх всех окон, блокирует запуск IE и Opera , не позволяет открыть диспетчер задач ( сворачивает его в трей и не дает развернуть). KAV7 , Spybot S&D, Ad-Aware SE его не обнаруживают ( при проверке он стоял на экране), Curelt! вообще не запускается !
После некоторых мучений обнаружил в автозагрузке незнакомый plugin (так и называется), удалил его из автозагрузки SBMAV Disk Cleaner-ом . Адрес его просмотреть не смог, т.к. ничего не открывается. После удаления из автозагрузки баннер с экрана пропал после перезагрузки (но в системе-то наверняка остался). Curelt! стал запускаться сразу в нескольких окнах . Curelt! при быстрой проверке ответил—вирусов не найдено!
Подскажите, где искать и как лечить??? Система: WinXPsp2.

[AndreyKa]

Пришлите файл virusinfo_cure.zip используя ссылку Прислать запрошенный карантин, вверху этой темы.

Kaspersky Anti-Virus 7 устарел.

Очистите карантин AVZ.
Выполните процедуру, описанную в первом сообщении:
http://virusinfo.info/showthread.php?t=3519

[sayan160]

После первой проверки AVS и HiJackThis сделал следующее:
- обновил kav7
-удалил plugin из автозагрузки
-удалил plugin.exe из С:// Program Files ( он и там прописался)
-удалил из всех поддиректорий C://Documents&Settings файлы , связанные с Flash Player и сам Flash Player тоже
-почистил комп Sbmav Disk Cleaner, Ccleaner и Registry Booster
После всего этого обновленный kav7 нашел еще это:

обнаружено: потенциально опасное ПО Hidden object Процесс: D:\TEMP\RarSFX0\h98u2xp.exe
обнаружено: потенциально опасное ПО Hidden object Процесс: D:\TEMP\RarSFX1\h98u2XP.exe
удалено: троянская программа Trojan-Ransom.Win32.PornoBlocker.hr Файл: C:\System Volume Information\_restore{1CFF474B-CB0F-422C-9BAF-EDA50AB12949}\RP1\A0000020.exe
удалено: троянская программа Trojan-Dropper.Win32.Agent.bkbf Файл: D:\!distr\megamanager.exe
удалено: вредоносная программа HackTool.Win32.KKFinder.as Файл: D:\!distr\Касперский\keys\keymanager v0.4.exe
не найдено: троянская программа Trojan-Dropper.Win32.Agent.bkbf Файл: D:\System Volume Information\_restore{1CFF474B-CB0F-422C-9BAF-EDA50AB12949}\RP2\A0002085.exe
удалено: вредоносная программа HackTool.Win32.KKFinder.as Файл: D:\System Volume Information\_restore{1CFF474B-CB0F-422C-9BAF-EDA50AB12949}\RP2\A0002088.exe


Прошу Вас еще раз проанализировать логи. Лог скрипта 4 AVZ пришлю позже после проверки остальными антивирусами.
как вставить вложения(логи)?

Добавлено через 1 час 53 минуты

Не могу вставить логи!!!
окно *Управление вложениями* неактивно

Добавлено через 12 минут

вот логи:

Добавлено через 2 часа 2 минуты

Curelt! (k9d28c2x) в 21.45 ответил-вирусов нет!
сразу после его закрытия kav7 заверещал:
обнаружено: потенциально опасное ПО Hidden object Процесс: D:\TEMP\RarSFX0\4sewvxp.exe
что это - вирус или несовместимость Curelt! и kav7 ?
Но с баннером кажется тема закрыта! Спасибо за помощь!!!

[AndreyKa]

kav7 заверещал:
обнаружено: потенциально опасное ПО Hidden object Процесс: D:\TEMP\RarSFX0\4sewvxp.exe

Это реакция. Не совместимость, это когда что-то нужное перестаёт работать.
Под "Kaspersky Anti-Virus 7 устарел" я имел ввиду не то, что базы устарели, а то, что надо переходить на новую версию.

[sayan160]

Спасибо ! Выводы сделаны.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены