Снова просят отослать sms

[FONT=Calibri][SIZE=3]Подцепил какую-то заразу (скорее всего в интернете). На синем фоне (как при приветствии Windows) появилось сообщение о том, что система заблокирована, просьба отправить sms “41112665013” на номер “3649”. А так же предупреждение о том что, мол, не пытайтесь переустановить систему – это может привести к потере данных. Окно нельзя не свернуть, не закрыть (не мышкой, не горячими клавишами). До рабочего стола и приложений добраться нельзя. В защищенном режиме тоже самое. Пытался откатить систему – опять тоже самое сообщение. Методом тыка выяснил, что попасть в систему можно нажав на reset в определенный момент при загрузке системы. Windows выкидывает сообщение о том что не может завершить какой-то там процесс - после чего можно работать. Отключил восстановление системы и попытался лечить – AVP, AVZ и CureIt (все с последними обновлениями). AVP нашел: Backdoor.Win32.KeyStart.bz, Trojan-Downloader.Win32.Agent.bqpi и Trojan.Win32.Inject.rpw.[/SIZE][/FONT]
[SIZE=3][FONT=Calibri]Не помогло. Заметил что из C:\Documents and Settings\All Users\Application Data запускается[/FONT][/SIZE]
[SIZE=3][FONT=Calibri]Blocker.exe и там же лежит blocker.bin – оба заархивировал и перенес в другое место – сообщение при загрузке перестало появляться. [/FONT][/SIZE]
[FONT=Calibri][SIZE=3]Вопрос: Как теперь почистить все что успел изменить вирус? Как предотвратить повторное заражение? Ведь вирус мог уже и на флэшку попасть, а AVP на blocker.exe не ругается.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Помогите пожалуйста.[/SIZE][/FONT]
[SIZE=3][FONT=Calibri]p.s.: В интернете почитал о похожем вирусе, но судя по описанию у меня какая-то модификация.[/FONT][/SIZE]

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe','');
DeleteService('wwsdjglejvgt');
QuarantineFile('C:\WINDOWS\system32\drivers\znidh.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\znidh.sys');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=43473"]http://virusinfo.info/upload_virus.php?tid=43473[/URL]
Повторите логи.

[QUOTE]Blocker.exe и там же лежит blocker.bin [/QUOTE]
Если эти файлы не пападут в карантин, то заархивируйте их с паролем virus и пришлите по той же ссылке. Вы же их только переместили?

Пофиксил.
Скрипт выполнил.
Выслал файлы попавшие в карантин + архив с blocker.exe и blocker.bin.
(Извините, первый раз выслал архивы без паролей)
Новые логи прилагаются.

Спасибо за оперативный ответ.

в AVZ
[CODE]begin
DeleteFile('digiwet.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
В логах больше ничего плохого.

Ваш антивирус не обеспечивает должного уровня защиты. Если есть возможность, используйте один из [url=http://virusinfo.info/showthread.php?t=1550]рекомендованных нами продуктов[/url].

Спасибо!

[QUOTE]blocker.exe_ - Trojan-Ransom.Win32.Agent.c

Детектирование файла будет добавлено в следующее обновление.
[/QUOTE]

[QUOTE]Ведь вирус мог уже и на флэшку попасть, а AVP на blocker.exe не ругается.[/QUOTE]
Теперь заругается :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \blocker.exe - [B]Trojan-Ransom.Win32.Agent.c[/B] ( DrWEB: Trojan.Winlock.19 )[*] c:\windows\system32\digiwet.dll - [B]Trojan.Win32.Inject.scp[/B] ( DrWEB: Trojan.Botnetlog.3 )[/LIST][/LIST]