Попрошайка ключа к Windows через SMS

Вчера вечером на экране компютера появилось сообщение "Срок действия ключа истек... Для покупки нового лицензионного ключа Windows пошлите смс содержащую wwwkeys на номер 7733"

В отличие от трояна [URL]http://news.drweb.com/show/?i=304&c=5[/URL] номер смс другой и предлагается послать слово, а не цифры.

AVZ4, NOD32 (установлен штатно), Dr. WEB CureIT! ничего не нашли ни в режиме сохранения, ни при запуске с системы с CD, ни при запуске "из под блокировки" (об этом ниже).

Однако, при нажатии клавиши ESC при блокировке удается сместить фокус и добраться до кнопки пуск. При этом если есть соединение с интренет, кнопка не видна, но можно добратся до "мой компьтер".

В процессе сканирования AVZ была обнаружена маскировка процесса из файла \sys32\msdtc\trace\winlogon.exe При переименовании этого файла симптомы блокировки исчезли.

Однако, файл parport.sys все еще маскируется и преименовать его не удается (появляется новый) хотя непонятно отностися ли он к делу.

Посылаю логи, что бы понять как лечить дальше. Стоит ли прислать зараженный winlogon для анализа (предварительно его заархивировав конечно)?

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\MsDtc\Trace\Winlogon.exe','');
DeleteFile('C:\WINDOWS\System32\MsDtc\Trace\Winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
parport.sys - системный файл

Есть сомнения что файл winlogon.exe попадет в карантин - ведь я переименовал его, иначе все блокировалось.

Пришлите этот переименованный. Но скрипт выполните все равно, он почистит ссылки на файл в реестре.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Вдогонку еще такой скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\MsDtc\Trace\pdctrl32.sys','');
DeleteFile('C:\WINDOWS\System32\MsDtc\Trace\pdctrl32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки карантин и новые логи в студию.

Посылаю логи после выполнения обоих скриптов. Карантин был выслан через ссылку.

Логи чистые.

Рекомендуется установить SP3 + последующие обновления.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\msdtc\trace\winlogon.exe - [B]Backdoor.Win32.Agent.afmn[/B][/LIST][/LIST]