Блокировщик Windows - как избавиться окончательно?

[Alhen]

Добрый день!
Сразу после загрузки компьютера появилось окно с просьбой отправить смс для разблокировки Windows. Диспетчер задач был заблокирован (но показывал, что идут процессы Sound.exe, crscs.exe), Комбинация Win+U не сработала. При попытках загрузки в безопасном режиме компьютер перезагружался.

Дома был только Live Cd DR Web, с которого запустила сканирование(проверка ничего не нашла). Тогда я вручную удалила C\Windows\system32\crscs.exe, C\Windows\Media\Sound.exe и всю папку С\Temp.
После этого в Windows зайти удалось, запустила AVP Tools, он нашел и удалил crypt.dll и еще несколько вирусов.
Удалила из реестра всю папку Run и записи, в которых упоминались crscs.exe, sound.exe.
Почистила файл hosts.
Но, видимо, это еще не конец, т.к.:
1. Браузер не открывает сайты kaspersky, virusinfo и т.п. , хотя файл hosts пустой.
2. Не показывает скрытые файлы и папки.
3. Сканирование gmer показывает подозрительные сервисы
Service system32\drivers\SKYNETipfvmpcf.sys (*** hidden *** ) [SYSTEM] SKYNETfqbfoawv <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** )
(лог прилагаю).
4. Windows при загрузке пишет, что не найден sound.exe.

Помогите, пожалуйста, окончательно избавиться от вирусов.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys','');
QuarantineFile('C:\WINDOWS\system32\SKYNETmhlwhxnb.dll','');
QuarantineFile('C:\WINDOWS\system32\SKYNETnwawkrvk.dat','');
QuarantineFile('C:\WINDOWS\system32\SKYNETjiqsxobp.dll','');
QuarantineFile('C:\WINDOWS\system32\SKYNETxnmvonyr.dat','');
QuarantineFile('C:\WINDOWS\system32\SKYNETwsp.dll','');
QuarantineFile('C:\WINDOWS\system32\qsuszum.dll','');
DeleteFile('C:\WINDOWS\system32\qsuszum.dll');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys');
DeleteFileMask('C:\WINDOWS\system32', 'SKYNET*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:

Код:

gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfqbfoawv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xejnnjrw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfqbfoawv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xejnnjrw"
gmer.exe -reboot

Запустите этот файл.
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=51971).
Обновите базы AVZ и сделайте новые логи, в т.ч. и лог gmer.

[Alhen]

AVZ не удается удалить или поместить в карантин указанные файлы, кроме одного, выдает следующее.
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETmhlwhxnb.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETmhlwhxnb.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETnwawkrvk.dat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETnwawkrvk.dat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETjiqsxobp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETjiqsxobp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETxnmvonyr.dat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETxnmvonyr.dat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETwsp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETwsp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\qsuszum.dll)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\WINDOWS\system32\qsuszum.dll)
Выполнен карантин файла C:\WINDOWS\system32\qsuszum.dll
Удаление файла:C:\WINDOWS\system32\qsuszum.dll
>>>Для удаления файла C:\WINDOWS\system32\qsuszum.dll необходима перезагрузка
Удаление файла:C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.s ys
>>>Для удаления файла C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys необходима перезагрузка
Удаление файла:C:\WINDOWS\system32\ SKYNET*.*

После выполнения в AVZ того же скрипта с перезагрузкой SKYNET и его миньоны не удалились (только qsuszum был помещен в карантин), и gmer по-прежнему регистрировал их активность, более того, после каждой перезагрузки количество плохих сервисов, связанных с ними, росло (лог gmer прилагаю).

Можно ли прислать карантин без пароля (дома я его заархивировала без пароля, а когда на работе пытаюсь распаковать и заархивировать снова, но уже с паролем, антивирус удаляет его)?
Заранее спасибо.

[Rene-gad]

Удалите Bonjour.

Код:

Код:

ko9vlre0.exe -del service epfrym
ko9vlre0.exe -del service hlvcfh
ko9vlre0.exe -del service xejnnjrw
ko9vlre0.exe -del service SKYNETfqbfoawv
ko9vlre0.exe -del service tawdhf
ko9vlre0.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hlvcfh"
ko9vlre0.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\epfrym"
ko9vlre0.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETfqbfoawv"
ko9vlre0.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xejnnjrw"
ko9vlre0.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tawdhf"
ko9vlre0.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hlvcfh"
ko9vlre0.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\epfrym"
ko9vlre0.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETfqbfoawv"
ko9vlre0.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xejnnjrw"
ko9vlre0.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tawdhf"
ko9vlre0.exe -del file "C:\WINDOWS\system32\qsuszum.dll"
ko9vlre0.exe -del file "C:\WINDOWS\system32\SKYNETwsp.dll"
ko9vlre0.exe -del file "C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys"
ko9vlre0.exe -del file "C:\WINDOWS\system32\SKYNETxnmvonyr.dat"
ko9vlre0.exe -del file "C:\WINDOWS\system32\SKYNETmhlwhxnb.dll"
ko9vlre0.exe -del file "C:\WINDOWS\system32\SKYNETnwawkrvk.dat"
ko9vlre0.exe -del file "C:\WINDOWS\system32\SKYNETjiqsxobp.dll"
ko9vlre0.exe -reboot

скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл ko9vlre0.exe (замаскированный gmer.exe ) под именем 123.bat и запустите.
После перезагрузки повторите логи по правилам + gmer.