Trojan.Downloader.Win32.Piker.bve (SMS K206724100 на 4460)

Здравствуйте.
Уважаемые знатоки, помогите добить гада.
Проблема, очень похожая на описанную здесь [URL]http://virusinfo.info/showthread.php?t=67596[/URL]
Не работает редактор реестра, заблокировано восстановление системы, заблокирован KAV2009, при запуске программ выскакивал банер с вымогательством денег. Тоже не помогли основные средства лечения описанные на форуме. Поступил так - загрузился с другого жесткого диска, установил туда триал KAV2010 с последними базами и просканировал проблемный диск. Антивирус ничего не нашел. Далее пользуясь информацией с форума полез в папку system32 и нашел там несколько подозрительных dll одинакового размера со случайным именем файла и вчерашней датой создания. Отправил образец в Лабораторию Касперского. Они ему присвоили имя Trojan.Downloader.Win32.Piker.bve . Буквально через пару часов после обновления KAV стал его видеть - вычистил на проблемном диске несколько экземпляров. Но, вот что странно. Я поместил в карантинную папку 6 экземпляров этой dll. Но KAV признал за врага только один. А прочие, в том числе и те два экземпляра, которые я им отсылал, были признаны безопасными. Ну да ладно, ему виднее, главное систему вычистил и часть проблем ушло. Стали запускаться программы и пропал банер. Осталось разблокировать доступ к реестру, к диспетчеру задач и запуску KAV (пишет, что запрещено администратором). Логи прилагаю.

Здравствуйте, отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол. Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J','');
QuarantineFile('C:\WINDOWS\tmp\oo.dll','');
QuarantineFile('C:\WINDOWS\tmp\leywgkomc.dll','');
QuarantineFile('C:\WINDOWS\tmp\ikozm.dll','');
QuarantineFile('C:\WINDOWS\tmp\dovore.dll','');
QuarantineFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153067.dll','');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153160.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153159.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153158.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153157.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP688\A0153149.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153069.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153068.dll');
DeleteFile('C:\System Volume Information\_restore{F22A3886-B026-4024-B5A8-6101EE26790B}\RP687\A0153067.dll');
DeleteFile('C:\WINDOWS\tmp\oo.dll');
DeleteFile('C:\WINDOWS\tmp\leywgkomc.dll');
DeleteFile('C:\WINDOWS\tmp\ikozm.dll');
DeleteFile('C:\WINDOWS\tmp\dovore.dll');
DeleteFile('C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\dllcache\c_720.nls:eRq3JVYPr9J[/CODE]
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Очистите темп папки.
Сделайте новые логи по правилам

Сделал как велено. Все прошло нормально за исключением того, что произошло зависание во время перезагрузки. Пришлось помочь кнопкой. После всех действий система внешне выздоровела! Огромное спасибо!
Логи и карантин высылаю.
Еще небольшое замечание - возможно это важно и как-то связано с трояном. Залез в статистику ожившего KAV и обнаружил, что в момент заражения орудовал некий вирус HEUR:Exploit.Script.Generic . Вроде KAV на него ругался и блокировал. Но именно после этого начались неприятности. Сохранился URL этого вируса, ведущий на некий американский сайт. Если нужно, я его предоставлю.
Знать бы еще где я эту заразу подцепил. Ходил в тот день по "обычныму маршруту" - новостные сайты, погода и по работе...

В логах ничего плохого. Обновите Internet Explorer до 8 версии. Ссылку на сайт в личку киньте.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]