sms блокер

Доброго времени суток
знакомые принесли ноутбук, windows xp sp2
при включении появляется окно с предложением оплатить штраф 400р на номер 8-917-811-67-78
в безопасном режиме тоже самое, при вызове по ctrl+alt+del - не активна кнопка диспетчер задач
Загрузился с live-cd проверил систему свежим cureit - ничего не нашел
загрузился с ERD Commander - поправил shell и userinit, удалил файл который был прописан в shell
загружаюсь с жесткого диска - снова блокировщик
грузимся с ERD - в реестре shell и userinit неправильные
уже пяток раз правил рестр, удалял файл, он снова прописывается и кладется в тоже место и с тем же именем
могу выслать этот волшебный файл, но не как карантин AVZ а вручную
что делать?

Уважаемый(ая) [B]beh01der[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].

Вероятно зловред подменил userinit.exe и возможно taskmgr.exe, восстановите их из дистрибутива или скопируйте из здоровой системы.

Добрый день

Спасибо за помощь!
заменил userinit.exe и taskmgr.exe, удалил их зараженные копии из папки dllcache
блокер удален, исправил ключ реестра, запрещающего запуск диспетчера задач
прилагаю логи AVZ и HiJackThis

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll (file missing)
O4 - HKCU\..\Policies\Explorer\Run: [Test System Key] C:\WINDOWS\system32\dprsrv32.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp', '*.*',true);
BC_DeleteSvc('dmadminLmHosts');
BC_DeleteSvc('dmadminRpcSsHidServ');
BC_DeleteSvc('ERSvcServiceLayerFastUserSwitchingCompatibility');
BC_DeleteSvc('ERSvcServiceLayerFastUserSwitchingCompatibilityseclogon');
BC_DeleteSvc('HTTPFilterRpcSs');
BC_DeleteSvc('NetmanEventlog');
BC_DeleteSvc('NetmanNetlogon');
BC_DeleteSvc('NtLmSspWZCSVC');
BC_DeleteSvc('RasManMessenger');
BC_DeleteSvc('RasManMessengerRpcSs');
BC_DeleteSvc('RpcSsHidServ');
BC_DeleteSvc('SamSsRSVP');
BC_DeleteSvc('SamSsWmdmPmSN');
BC_DeleteSvc('ServiceLayerFastUserSwitchingCompatibility');
BC_DeleteSvc('VCSecureConfigSamSs');
BC_DeleteSvc('wscsvcLmHosts');
BC_DeleteSvc('wuauservERSvc');
BC_DeleteSvc('dgderdrv');
BC_DeleteSvc('Windk52');
BC_DeleteSvc('Windk85');
BC_DeleteSvc('Wingm52');
BC_DeleteSvc('Wingn17');
BC_DeleteSvc('Winip85');
BC_DeleteSvc('Winkr63');
BC_DeleteSvc('Winpw17');
BC_DeleteSvc('Winqx41');
BC_DeleteSvc('Winsb42');
BC_DeleteSvc('Wintb74');
BC_DeleteSvc('Wintc32');
BC_DeleteSvc('Winuc28');
BC_DeleteSvc('Winud75');
BC_DeleteSvc('Winvc30');
BC_DeleteSvc('Winwe63');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=103931[/url]).
Сделайте новые логи.

карантин
Файл сохранён как 110619_105617_virusinfo_cure_4dfdd5d1b603e.zip
Размер файла 2201653
MD5 adecca97e590ca655825d0de16ee7d0f

новые логи прилагаю

upd.извиняюсь, отключение восстановления сделал после логов

Чисто.

Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]