Лечил от Trojan-Ransom-подобного зловреда

Доброго дня и с наступающим и с прошедшими праздниками! :xmas:

Лечил машинку от очередного вымогателя, лечил вручную.
Из симптомов было:
1. Классическое окно с предложением поделиться деньгами и c обратным отсчетом.
2. Отключены Диспетчер задач, Управление системой, Управление GPO, regedit.
3. FAR не запускался.
4. Запуск AVZ-HJT-AVP приводил в релогону.
5. В system32 нашел около 5 гигов *.dll от 18.08.04 15:00
Сегодня привез AVP и прочее.
Проверьте пожалуйста, никто не ушел живым?

Как обычно, AVZ и HJT переименованы в gameI.pif и gameII.pif
Заранее огромное спасибо за помощь и Stay Connect!

Режим лечения: включено -- Отключить надо.

[QUOTE='PavelA;559528']Режим лечения: включено -- Отключить надо.
__________________[/QUOTE]

Прошу прощения, это где? Я так понял в AVZ? Но режим лечения включается автоматически при выполнении стандартного скрипта №3 "Скрипт лечения/карантина".
Непонял.
Или речь о AVP?

Удалил AVP
Повторил логи (сделал как делал всегда).
Если я туплю, прошу пардону.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');
QuarantineFile('C:\WINDOWS\system32\chhxed.dll','');
DeleteFile('C:\WINDOWS\system32\chhxed.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=67079[/url]).
Сделайте новый лог syscheck (только п.2 раздела Диагностика).