зараза от errorsafe.com

[B][COLOR=red]Зараза от [U]errorsafe.com[/U]![/COLOR][/B] >:(

Прицепилась зараза, пока проявляет себя следующим образом...
Каждый раз при загрузке Windows XP в системтрее показывается кружочек с восклицательным знаком и выпадающей надписью:
"Security warning: your computer may be infected with harmful or unwanted software!"
Если на нее нажать (Open), то открывается окошко "Security warning" (плохая подделка под стандартный интерфейс) с предложением перейти на сайт [URL="http://go.winantispyware.com"]http://go.winantispyware.com[/URL], а с него перекидывает уже на [URL="http://ru.errorsafe.com"]http://ru.errorsafe.com[/URL] и скачать оттуда якобы супер-пупер антивирус "[B]ErrorSafe[/B]"!
А если на значке в системтрее выбрать "Ignore", то зараза пропадает до следующей перезагрузки.

Очень похожая ситуация рассматривается в теме [I]"Пакость от [/I][URL="http://www.ru.errorsafe.com"][I]www.ru.errorsafe.com[/I][/URL][I]"[/I] ([URL="http://virusinfo.info/showthread.php?t=6668"]http://virusinfo.info/showthread.php?t=6668[/URL]), но у меня несколько иные файлы и все проделанное там мне не помогает! :'-(
Еще подобная дрянь описана здесь: [URL="http://erogen.ru/topic5273.html"]http://erogen.ru/topic5273.html[/URL]
[I]"Re: Антивирусная защита 11.09.2006, 05:58 Look2Me описание и лечение"[/I]
Но и Look2Me-Destroyer и HijackThis не помогли. :'-(

Очень прошу помочь!

Правила я читал, вооружился [B]AVZ[/B], [B]HijackThis[/B], [B]L2MRemover[/B], [B]Look2Me-Destroyer[/B]. Еще в арсенале лицензионный [B]Norton Internet Security 2005 AntiSpyware Edition[/B] [COLOR="Silver"](правда скоро заканчивается подписка на апдейты, но платить им за продление больше не возникает желания - все равно ведь пропустил он эту заразу)[/COLOR].
Сделал логи, но не знаю, как прикрепить их к теме. :?

[B][COLOR="DarkRed"]15:26 Логи приложил к первому сообщению.[/COLOR][/B]

Выполните Правила [url]http://virusinfo.info/showthread.php?t=1235[/url]

[QUOTE=salex]Сделал логи, но не знаю, как прикрепить их к теме. :?[/QUOTE]
[url]http://virusinfo.info/attachment.php?attachmentid=2855&stc=1&d=1154670425[/url]

Логов должно быть три (!) штуки.
Два от AVZ и один от HJT.

А Вот и еще одна тема "[B]errorsafe[/B]" на Вашем форуме:
[URL="http://virusinfo.info/showthread.php?t=6704"]http://virusinfo.info/showthread.php?t=6704[/URL]

[I][COLOR=darkred]С прикреплением логов к сообщению вроде разобрался. [B]Приложил все три требуемых файла к первому моему сообщению в теме![/B][/COLOR][/I]

Вижу файлики в Downloads с подозрением [COLOR="Red"]Backdoor.Win32.Eclypse[/COLOR]. Но мне кажется, что скорее всего дело не в них.

Вот еще решил продемонстрировать, как выглядит его окошко:
С надеждой на помощь...


[COLOR=gray]P.S. К стати, форум у Вас грамотный, навороченный движок такой и форматирование сообщений супер (прям как Word почти :)). На основе vBulletin?[/COLOR]

Пришлите, как написано в правилах -
C:\WINDOWS\system32\drvzuh.dll

В 21:37 я закачал Вам указанный файл. Только вот AVZ сам архивирует его в [B]virus.zip[/B] и при этом, похоже, [COLOR=darkred]без пароля[/COLOR] "virus". Надо самому еще его архивировать отдельно с паролем или тот, что я отправил подойдет?
Спасибо.

C:\WINDOWS\system32\drvzuh.dll - Win32:Renos-U
Выполните скрипт в AVZ.
[CODE]begin
DeleteFile('C:\WINDOWS\system32\drvzuh.dll');
end.[/CODE]

[QUOTE=5ergi0]C:\WINDOWS\system32\drvzuh.dll - Win32:Renos-U[/QUOTE]

Угадал ;)
AVZ - "Файл"=>"Отложенное удаление"
C:\WINDOWS\system32\drvzuh.dll
Перезагрузка.

Все. Исчезла зараза (по крайней мере в системтрее больше нет :)).
[SIZE=3][COLOR=red][B]Списибо, ребята, огромное!!! Выручили![/B][/COLOR][/SIZE]
Вы делаете добро и желаю, что бы оно Вам вернулось вдвойне! Успехов Вам и Вашему проекту... :)

[COLOR=gray]P.S. Как принято, на всякий случай высылаю [COLOR=yellowgreen]hijackthis.log[/COLOR].[/COLOR]

Не возродился.