Привет, коллеги!

UAC реагирует на запуск исполняемого файла java_update_<random>.exe без цифровой подписи из папки %temp%, где random - произвольный набор букв. При нажатии "Нет" запрос тут же появляется снова (недавно были похожие темы (http://forum.oszone.net/forumdisplay.php?f=87&filter_string=java&filter_by=title)).

ПК не мой, логи собирались не совсем по правилам (антивирус не отключался), но хоть что-то. Буду признателен за помощь :)

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\progra~3\mozilla\htyezvb.exe');
QuarantineFile('c:\progra~3\mozilla\htyezvb.exe','');
DeleteFile('c:\progra~3\mozilla\htyezvb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip при помощи этой формы (http://www.oszone.net/virusnet/)

Пофиксите в HiJack
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

thyrex, спасибо за моментальный отклик. Уже после создания темы на зараженном ПК был "запущен Касперский", который нейтрализовал появление запросов UAC от сабжа.

Однако инструкции были выполнены. Логи в аттаче.

Еще раз запустите полное сканирование МВАМ. После окончания отметить и удалить все строки, кроме
C:\Users\Phantom\Desktop\L\OLD\Desktop\Октябрь\Guitar.Pro.v5.2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\Phantom\Desktop\team\ОКТЯБРЬ\- 2008 MP3 256kbps _setup.exe (Adware.ForcedStartPage) -> Действие не было предпринято.
C:\Users\Phantom\Desktop\team\ТУТ все что лежало на столе\K-Lite Codec Pack Update_setup.exe (PUP.BundleInstaller.DU) -> Действие не было предпринято.

+ уточните у хозяев компьютера по поводу C:\Program Files (x86)\VPets\VPets.exe - зверюшки на Рабочем столе бегают - сами ли они их установили

thyrex, файл VPets не нашелся, в т.ч. поиском AVZ.

А так все гуд, спасибо за заботу!

P.S. Я удаляю логи по просьбе владельца.

thyrex, файл VPets не нашелся, в т.ч. поиском AVZ. »
Значит это остались следы в реестре .

Да, была запись в автозагрузке, я ее отключил.