!ПОРНОБАННЕР!

В одной из учетных записей появился порнобаннер, заблокирован диспетчер задач, редактор реестра. В другом профиле таких проблем не было. Выполнить все рекомендации по проверке системы не удалось - не получилось загрузиться в безопасном режиме. Сделал проврку в обычном режиме из рабочего профиля, антивирус (NOD) нащел вирусы, а после HiJackThis банер удалился, диспетчер задач и редактор реестра заблокированы. Никак не удалось загрузиться в безопасном режиме, ветка реестра есть, SUPERAntiSpyware.Professional запускал, скрипт в AVZ выполнял - сообщают о выполнении исправлений, а в результате ноль повдоль. Огромная просьба помочь разобраться.

Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp','');
QuarantineFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp','');
DeleteFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp');
DeleteFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
RegSearch('HKLM', '', 'espF655');
RegSearch('HKLM', '', 'esp7491');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + Прикрепите лог avz.log из папки AVZ.

Новые логи:

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\rarunlck.exe','');
QuarantineFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp','');
QuarantineFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp','');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\7CA37018');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\7CA37018');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\7CA37018');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\7A1FDFB8');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\7A1FDFB8');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\7A1FDFB8');
DeleteFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp');
DeleteFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новый лог virusinfo_syscheck.zip

Новый лог virusinfo_syscheck:
Выполнил все рекомендации, проблемы пока остались

Больше ничего плохого

Большое спасибо за внимание и помощь. Может еще какой совет? Где собака порылась?

Обновляйте систему периодически, ставьте заплатки, делайте update таких программ как Adobe, Java. Рекомендуется к изучению - [url]http://security-advisory.virusinfo.info[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\netprotocol.dll - [B]Backdoor.Win32.Buterat.jc[/B] ( DrWEB: Trojan.Click1.3196, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]