Порнобаннер 35104112 на номер 3381

[s1lver]

Просит СМС с текстом 35104112 на номер 3381 (3 картинки на красном фоне).
Коды из списка деблокера не подходят. Из под других учетных записей и сэйф мода баннер тоже присутствует. Зашел из ERD Commander'а, потер подозрительное Run и исправил userinit. После этого система корректно загрузилась. Просьба помочь почистить следы. Логи в следующем сообщении.

[s1lver]

Логи.

[thyrex]

C:\Program Files\Yuuguu\yuuguu.exe - известная Вам программа?

потер подозрительное Run и исправил userinit

Сами файлы (прописанный в ключе Run и дописанный к параметру userinit) удаляли?

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\autorun.inf','');
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('E:\autorun.inf','');
 DeleteFile('E:\autorun.inf');
 DeleteFile('C:\thumbs.db');
 DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[s1lver]

thyrex,
Да, сам удалял, что из Run (тут особо подозрительного не нашел), что из userinit (тут после userinit была ссылка на файл в c:\temp - у меня тут TEMP по умолчанию - но файла не было этого там).

Да, Yuuguu известная мне программа.

[s1lver]

Карантин залил + логи.

[thyrex]

Плохого не видно

[s1lver]

Спасибо! Излечено!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. e:\autorun.inf - Worm.Win32.AutoRun.gvb ( NOD32: Win32/LockScreen.AX trojan, AVAST4: VBS:Malware-gen )
  2. h:\autorun.inf - Worm.Win32.AutoRun.gvb ( NOD32: Win32/LockScreen.AX trojan, AVAST4: VBS:Malware-gen )