Помогите, Internet Security!!!!!!!!!!!!!!!!!!!

[yashablack]

Internet Security обнаружил вредоносное ПО на компьютере. "Для продолжения работы и очистки от вирусов и троянов необходимо получить код активации... Отправить СМС с кодом К206015200 на номер 4460". Всё что можно заблокировано
Код подобрали, отпустило, после прогнали Dr.WebCureIt, он нашёл и удалил около 20, winlock.938, но в диспетчере висят непонятные процессы, логи прилагаются.

[yashablack]

можете посмотреть и сказать дальнейшие действия?

[DefesT]

Пофиксите в Hijackthis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 QuarantineFile('C:\Program Files\Common Files\SkyLogger\svc.dll','');
 QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
 DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
 QuarantineFile('C:\Documents and Settings\Юлия\Application Data\AdSubscribe\AdSubscribe.dll','');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 DeleteService('Ipv63');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ipv63.sys','');
 QuarantineFile('c:\windows\system32\userini.exe','');
 TerminateProcessByName('c:\windows\system32\userini.exe');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ipv63.sys');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\Documents and Settings\Юлия\Application Data\AdSubscribe\AdSubscribe.dll');
 DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32','DLLName');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

[yashablack]

Выполнены все действия. Логи прилагаю, карантин тоже!

[DefesT]

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новый лог virusinfo_syscheck.zip

[yashablack]

вот, что дальше?

[Bratez]

Чисто. Что с проблемами?

[yashablack]

раз чисто, проблем больше нет, спасибо!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.7492, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:FakeAlert-GK [Trj] )
  2. c:\windows\system32\userini.exe - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.7492, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:FakeAlert-GK [Trj] )