Здравствуйте!

Знакомая обнаружила у себя "зверушку". Dr.Web опознал его как Win32.HLLP.Whboy и удалил. Через некоторое время он опять появляется. Лечение с помощью CureIt и AVZ в безопасном режиме не помогло.
Со слов пострадавшей заражены также флешки и фотоаппарат. Сам консультирую ее удаленно, попросил ее сделать необходимые логи, которые и прикрепляю.

Заранее благодарю за помощь.

Со слов пострадавшей заражены также флешки и фотоаппарат »
Оттуда большей частью снова все и лезет- если антивирус не включен постоянно. Надо также очистить флешки и память фотоаппарата. И при подключении устройств антивирус должен быть включен. Система восстановления при проверке\лечении CureIt должна быть отключена.

Alexander_Grig, Очистите временные файлы.
Деинсталлируйте ContentSaver и ConnectionServices
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ContentSaver\ContentSaver.dll','');
DeleteFile('C:\Program Files\ContentSaver\ContentSaver.dll');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{29F340EA-2108-40d0-94A0-62EC2B9EDF59}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (что останется)
O2 - BHO: ContentSaver module - {29F340EA-2108-40d0-94A0-62EC2B9EDF59} - C:\Program Files\ContentSaver\ContentSaver.dll (file missing)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.
Повторите логи virusinfo_syscheck.zip и hijackthis
И пора ставить SP3