Вирус Internet Security

Доброго времени суток, господа!
Требуется Ваша помощь. Подхватил где-то смс-вымогателя [B]Internet Security[/B]. В результате на компьютере ничего не запускается, в интернет выйти не могу.
Загрузил комп с чистой системы, проверил утилитами от Касперского и доктора Веба, но они ничего не нашли.
АВЗ, даже переименованный, не удается запустить, в том числе и в защищенном режиме, комп сразу уходит в перезагрузку или выключается.
Переименованный HijackThis удалось запустить в защищенном режиме, но и здесь комп перезагружается. Хорошо, что после перезагрузки сохранился лог.
Подскажите, что делать?

1. Попробуйте узнать код разблокировки с помощью [url="http://virusinfo.info/deblocker"]вот этого сервиса[/url]. Если код не поможет, продолжайте по следующим пунктам. Если поможет - переходите сразу к пункту 6.
2. Скачайте [url="http://download.bleepingcomputer.com/Merijn/adsspy.zip"]вот эту утилиту[/url].
3. Загрузитесь и проведите сканирование с помощью [url="ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso"]LiveCD от DrWeb[/url] или [url="http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso"]Rescue Disc от Kaspersky Lab[/url]. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как [url="http://virusinfo.info/showpost.php?p=557652&postcount=5"]описано здесь[/url], после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
4. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
[code]siszyd32.exe (везде на диске С)
av_md.exe (везде на диске С)
restorer64_a.exe (везде на диске С)
sdra64.exe (везде на диске С)
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\TEMP\ (удалить всё в этой папке)[/code]
Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
5. После этого запустите скаченный ADSSpy.exe.
5.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
5.2. Нажмите кнопку [b]Scan the system for alternate data stream[/b].
5.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите [b]View stream contents[/b].
5.4. Нажмите кнопку [b]Save to disk[/b] и сохраните файл с именем похожим на то, что написано внизу окна [b]ADS Spy[/b] в строчке [b]Viewing content of ....[/b].
5.5. После этого нажмите кнопку [b]Back[/b] и для указанных выше двух потоков однозначно нажмите кнопку [b]Remove selected streams[/b], удалив зловредные потоки с машины. [u]Внимание[/u]: удалять только те потоки, которые я указал!
5.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
5.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
6. После этого попробуйте загрузить систему и получить полные логи по [url="http://virusinfo.info/pravila.html"]Правилам[/url].

Архив с файлами выслал.

Все сделал по инструкции.
Из предложенных к удалению файлов был найден только siszyd32.exe разных модификаций.
В папке C:\WINDOWS\system32\ файла regedit.exe не найдено. Были найдены файлы с таким именем в других папках (их необходимо удалять?).
По пункту 5.5 - был найден только один поток, который удалил.
После всех проведенных операций, комп перезагрузил. Удалось в нормальном режиме получить логи, но не запускается regedit (пишет что права ограничены администратором) и IE (вообще никаких сообщений), остальные проги вроде запускаются.

Логи сделал. Кто-нибудь может сказать, что необходимо дальше сделать?

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\Temp\NEventMessages.dll','');
QuarantineFile('C:\Temp\mc23.tmp','');
DeleteFile('C:\Temp\mc23.tmp');
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\sizens.ani:QRNluC', ''), ',,', ',')); {удаление AppInit_DLL}
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(17); {разблокировка редактора реестра}
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].

Учтите, что вирус, который Вы удалили может распространятся через заражённые флешки при их автозапуске

Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
[code]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\]
"Start"=dword:00000004

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\]
"HonorAutorunSetting"=dword:00000001
[/code]

Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.

Проверьте и напишите, что там с проблемами.

Карантин отправил. Regedit стал запускаться, а Internet Explorer как не запускался, так и не запускается. Хотя через свойства позволяет удалять временные файлы и куки. И еще комп тормозит здорово, до заражения такого не наблюдалось.

Сделайте повторный лог только согласно пункта 2 [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscheck.zip[/i]

И такой вопрос: Вы пользуетесь или пытались установить софт компании Nokia? (может, что-то для подключения мобильного телефона к компьютеру?)
Укажите, пожалуйста, какие файлы имеются в папке C:\Temp\

Повторный лог сделал.
Какой-то софт компании Nokia установлен уже давно, все руки не доходят его снести.
Содержимое папки C:\Temp\
Arabic.bin
Czech.bin
Danish.bin
Dutch.bin
English.bin
EverestDriver.sys
Finnish.bin
French.bin
German.bin
Greek.bin
Hebrew.bin
Hungarian.bin
Italian.bin
Japanese.bin
Japanese.bin
Korean.bin
Norwegian.bin
Perflib_Perfdata_5d0.dat
Polish.bin
Portuguese(Brazil).bin
Portuguese.bin
product_information3962.xml
product_information4367.xml
product_information18722.xml
product_information30792.xml
Russian.bin
SimChin.bin
Spanish.bin
SWEDISH.bin
Thai.bin
TradChin.bin
Turkish.bin
WCESCOMM.LOG
WCESLog.log
WcesView.log

В логах ничего вредоносного не обнаружено. Что с проблемами?

Все работает. Сейчас буду выяснять почему тормозит интернет.

С нашей помощью Вы нашли и удалили вирус Packed.Win32.Krap.w, а также новый вирус, который будет называться Trojan.Win32.Agent2.cngm.
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [url="http://virusinfo.info/showthread.php?t=3519"]тут.[/url]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [url="http://update.microsoft.com"]обновления системы Windows[/url] и используемых программ. И вообще, постарайтесь выполнить все советы, [url="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/url] - это максимально отдалит время нашей следующей с Вами встречи :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \siszyd32.exestartup - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.cq0@auY9Uwoc, AVAST4: Win32:Bredolab-BR [Trj] )[*] \sizen_ani_qrniuc.bin - [B]Trojan.Win32.Agent2.cngm[/B][/LIST][/LIST]