Помогите справится с заразой

[SergeySpb]

Добрый день уважаемые господа.
Подскажите, у знакомой выскачил банер с требованием положить денег на номер телефона ..................
Безопасный режим не работает.
LiveCD не помог, пробовал и аналог от Касперского. Результат 0!
Знакомый посоветовал ZverCD, поставил на диск D.
Запустил Cureit, ничего. Запустил Kaspersky Virus Removal Tool, результат 2 шт.
При загрузке с диска С банер остался. Что посоветуете?

[Info_bot]

Уважаемый(ая) SergeySpb, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)). Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система (образец)
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Значения этих параметров напишите в своем сообщении

[SergeySpb]

С:\WINDOWS\system32\userinit.e...
explorer.exe

Добавлено через 40 минут

прошу прощения не заметил
С:\WINDOWS\system32\userinit.exe,

Добавлено через 39 минут

Удалил 2 файла из автозагрузки.
Комп запустился. Логи выложу позже.

[SergeySpb]

hijackthis.logvirusinfo_syscure.zip

[SergeySpb]

virusinfo_syscheck.zip не нашел.
Не уверен, что получилось прикрепить файлы.
Как прикрепить.jpg

[thyrex]

Сделайте лог полного сканирования МВАМ

[SergeySpb]

mbam-log-2011-07-11 (12-13-08).txt

[V_Bond]

удалите в мбам

Код:

Зараженные папки:
c:\documents and settings\Irina\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\documents and settings\Irina\local settings\Temp\0.5093369414862057.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\Irina\local settings\Temp\jar_cache2972694143029554047.tmp (Backdoor.Bot) -> No action taken.
c:\documents and settings\Irina\local settings\Temp\jar_cache6794389198095760994.tmp (Backdoor.Bot) -> No action taken.
c:\documents and settings\Irina\рабочий стол\0.8967602454123704.exe (Backdoor.Bot) -> No action taken.
c:\program files\Argos\E-Tax\editor.exe (Rogue.AntiMalwareLab) -> No action taken.
c:\program files\Argos\E-Tax\etax.exe (Rogue.AntiMalwareLab) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\sview (Trojan.Agent) -> No action taken.
c:\documents and settings\Irina\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.

[SergeySpb]

mbam-log-2011-07-11 (12-13-08).txt
Прога Argos нужна.
Еще вопросик: как удалить windows с диска D или чтоб автоматически загружался с С?

[V_Bond]

ничего подозрительного
http://www.infocity.kiev.ua/os/content/os183.phtml

[SergeySpb]

Всем огромное СПАСИБО!