И еще один с порнобанером!

[AndreyET]

Логи удалось сделать как под пользователем, хотя эта сволочь и мешала, так и под админом, где ее небыло.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\autorun.inf','');
 DelBHO('{4F541691-A732-4D3B-AFC6-9011C1A52935}');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\gfslib.dll','');
 DeleteService('winsecguard');
 DeleteFile('C:\WINDOWS\Inf\zpx2.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\gfslib.dll');
 DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Выполните http://virusinfo.info/showthread.php?t=43700

Сделайте новые логи.

[AndreyET]

Скрипты выполнил, карантин отправил, при создании новых логов, компьютер после выполнения стандартного скрипта №3, сам выключился, скрипт №2 и hijackthis были выполнены после включения машины.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wpv461237070981.cpx','');
DeleteService('NtLmSspEventlog');
 DeleteFile('C:\WINDOWS\system32\wpv461237070981.cpx');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[AndreyET]

Карантин пуст, логи сделаю уже завтра.

[AndreyET]

Вот логи.

[thyrex]

В логах порядок. Проблема решена?

[AndreyET]

Сейчас пойду проверю, просто под админом ее и небыло, только под пользователем.

Добавлено через 6 минут

Нет! Проблема осталась, при загрузке под пользователем опять вылез этот банер!
Мои действия?
Запустил hijackthis под пользователем, нашел в логе две подозрительные записи:
F3 - REG:win.ini: load=C:\DOCUME~1\sias\LOCALS~1\Temp\krSR.bat
O4 - HKCU\..\Run: [userinit] C:\Documents and Settings\sias\Application Data\sdra64.exe
и пофиксил их.
Банер после перезагрузки изчез.
Сделал новые логи.

[thyrex]

На будущее: сбор логов выполнять из проблемной учетки

Выполните скрипт в AVZ (под учеткой Администратора)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\sias\Application Data\sdra64.exe','');
 DeleteFile('C:\Documents and Settings\sias\Application Data\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[AndreyET]

Скрипт выполнил, карантин выслал,
Логи прилогаю.

[thyrex]

На всякий случай лог gmer сделайте

[PavelA]

http://support.kaspersky.ru/download...zbotkiller.zip - проверьтесь.

http://support.kaspersky.ru/viruses/...&qid=208636281 - это как им пользоваться.

[AndreyET]

To thyrex Лог gmer выложил
To PavelA Спасибо! Нашел два файла.
C:\Documents and Settings\sias\Application Data\lowsec\local.ds infected by Troj
an-Spy.Win32.ZBot...deleted
C:\Documents and Settings\sias\Application Data\lowsec\user.ds infected by Troja
n-Spy.Win32.ZBot...deleted

[thyrex]

Чисто

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены