Windows заблокирован, просят отправить СМС

Добрый вечер! Лечил компьютер знакомым, баннер появлялся:[B]"Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания........Для активации системы необходимо: Пополнить номер абонента МТС: +79133915809 на сумму 2000 рублей....."[/B], всё блокировал, в безопасном режиме тоже появлялся. Я выполнил лечение с помощью [B]Kaspersky Rescue Disk[/B], так же тамошней утилитой Kaspersky WindowsUnlocker выполнил разблокировку командой [B]windowsunlocker[/B] в терминале. Касперским нашлось несколько троянцев, баннер исчез, затем в безопасном режиме лечил утилитой [B]Dr[/B].[B]Web[/B] [B]CureIt[/B]!Тоже нашлось несколько зараженных файлов.Названия найденных вредоносов к сожалению не запомнил. Потом перезагрузился, баннера не было.Я вошел в интернет, открыл Firefox и вдруг через минут пять этот же баннер снова появился. Использованные в предыдущем лечении утилита и диск уже не помогают,а в безопасном режиме система уходит в [B]BSOD[/B] с ошибкой [B]STOP: 0*0000007B (0*F789E524, 0*C0000034, 0*00000000, 0*00000000)[/B] .
[COLOR=#000000] Посмотрел в реестре ветку: [COLOR=Red]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/COLOR]
[B]параметр[/B] [COLOR=Blue]userinit [/COLOR][/COLOR]имеет значение [B]C:\WINDOWS\system32\userinit.exe,[/B][COLOR=#000000]
[B]параметр[/B] [COLOR=Blue]shell[/COLOR][/COLOR] имеет значение [B]explorer.exe
[/B]Вот экспорт веток[COLOR=#000000]реестра [B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run[/B] и [B]HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run[/B][/COLOR]

окно с блокером появляется появляется после логотипа windows

Уважаемый(ая) [B]alelvl[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте.

[CODE]"C:\\Documents and Settings\\Admin\\ms.exe"="C:\\Documents and Settings\\Admin\\ms.exe"[/CODE]
Эту запись удалите в редакторе реестра.
Затем попробуйте загрузить в обычном режиме и сделать логи по правилам.

[QUOTE=Nikkollo;918067]Здравствуйте.

[CODE]"C:\\Documents and Settings\\Admin\\ms.exe"="C:\\Documents and Settings\\Admin\\ms.exe"[/CODE]
Эту запись удалите в редакторе реестра.
Затем попробуйте загрузить в обычном режиме и сделать логи по правилам.[/QUOTE]
Сначала я удалил эту запись - не помогло, баннер снова появился и при повторной загрузке с Kaspersky Rescue Disk эта удаленная в прошлый раз запись была на том же месте. Затем я удалил сам файл [B]ms.exe[/B] и выполнил поиск в реестре по ключевому слову ms.exe, нашлось две записи: первую я удалил, там был параметр из набора букв а в значении был указан путь к ms.exe. Вторым нашелся параметр shell в значении которого тоже был указан путь к файлу ms.exe, вместо него я прописал explorer.exe. Помогло. Баннер не появился больше.
Кстати, вот так выглядел баннер [ATTACH=CONFIG]374371[/ATTACH]

Вот запрашиваемые вами логи

Выполните скрипт в AVZ
[code]begin
ExecuteREpair(10);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

В остальном порядок

Спасибо большое за помощь! Проблема решена.