удален ли zpx2.exe

Добрый вечер.
Поймал zpx2.exe - не мог выйти в инет ни с одного браузера,- был порно баннер при любом введенном адресе.
Из под другой системы удалил вручную данную дрянь вместе с длл и обратно поменял настройки в ie и мозиле.
Вопрос осталась ли какая гадость в системе или нет. Антивирусы ее не видели...AVZ пользовал соотв уже после удаления, т.к. инета не было.

В AVZ делаю все по инструкции, только выходит почему то не virusinfo_syscure.zip а virusinfo_cure.zip, которая весит 60 метров.[URL="http://virusinfo.info/attachment.php?attachmentid=114099&d=1235825570"]
[/URL]

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{44627E97-789B-40d4-B5C2-58BD171129A1}');
DelBHO('{EA982585-D249-40C8-A368-C2BE7944ABC2}');
QuarantineFile('D:\Documents and Settings\All Users\Application Data\klhlib.dll','');
QuarantineFile('D:\WINDOWS\system32\digeste.dll','');
DeleteService('GarenaPEngine');
QuarantineFile('D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OXT31.tmp','');
DeleteService('winsecguard');
QuarantineFile('D:\WINDOWS\system32\zpx2.exe','');
DeleteFile('D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OXT31.tmp');
DeleteFile('D:\WINDOWS\system32\digeste.dll');
DeleteFile('D:\Documents and Settings\All Users\Application Data\klhlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Вложил два файла с карантином.
Интересует ctagent.dll ( avz пугает 98% вероятностью того что это перехватчик событий клавы-мыши кейлоггер?)по описанию этот файл с дров звуковой карты.
С Уважением.

Up

лог virusinfo_[B]sys[/B]cure.zip удалось сделать?

Да все сделал.
Заранее спасибо.

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
[/CODE]



в AVZ выполните скрипт в обычном режиме.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\zpx2.exe');
DeleteFile('D:\WINDOWS\system32\digeste.dll');
BC_ImportDeletedList;
BC_DeleteSvc('winsecguard');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи в обычном режиме.

В обычном не выполняется только в безопасном.
А в обычном выдает( хотя все что мог выгрузил) : Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 75747061], шаг [9]

скачайте этот AVZ и попробуйте им [URL="http://rapidshare.com/files/199106177/toto.pif"]http://rapidshare.com/files/199106177/toto.pif[/URL]

>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне API
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]

Все процессы связанные с антивирусом ( какие нашел ) поубивал.

Ну тогда сделайте этот лог [URL="http://virusinfo.info/showthread.php?t=40118"]http://virusinfo.info/showthread.php?t=40118[/URL]

Сделал.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\windows\system32\digeste.dll - [B]Trojan-Downloader.Win32.Injecter.cmk[/B][/LIST][/LIST]