Trojan блокирует работу антивируса и доступ к ряду сайтов

Доброго времени суток!
Требуется помощь. Trojan блокирует работу антивируса и доступ к ряду сайтов.
Спасибо.

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
[B]- [URL="http://virusinfo.info/showthread.php?t=4905"]Системное восстановление, если ещё этого не сделали[/URL]!!! Это ВАЖНО![/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\DOWNLO~1\SysInfo.dll','');
QuarantineFile('rdpclip','');
QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
QuarantineFile('C:\Windows\system32\msiexec','');
QuarantineFile('C:\Windows\System32\appdrvrem01.exe','');
QuarantineFile('C:\Windows\system32\geyekrfddejxfm.dll','');
DeleteFile('C:\Windows\system32\geyekrfddejxfm.dll');
DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13); {очистка файла hosts}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

Не смог выполнить скрипт в обычном режиме, так как вирус уже заблокировал систему (просит отправить смс для разблокирования). Скрипт выполнил в безопасном режиме. Еще вот что насторожило, при выполнении скриптов в AVZ в протоколе пишется:
[I]1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000035F]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C000035F][/I]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\iTuneshelp.exe','');
QuarantineFile('C:\Windows\SMINST\launcher.exe','');
QuarantineFile('C:\Windows\Media\sound.exe','');
DeleteFile('C:\Windows\Media\sound.exe');
DeleteFile('C:\Windows\iTuneshelp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи (по возможности в [B]нормальном[/B] режиме)

Скрипт выполнил в безопасном режиме. После чего удалось зайти в нормальный режим, там выполнил логи. Карантин подгрузил.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
QuarantineFile('C:\Windows\system32\drivers\geyekrhvfrmdrr.sys','');
DeleteFile('C:\Windows\system32\drivers\geyekrhvfrmdrr.sys');
DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи AVZ + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]

Скрипт выполнил. Архив карантина подгрузил

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\Drivers\vdkxnjky.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\geyekrhvfrmdrr.sys','');
QuarantineFile('C:\WINDOWS\system32\geyekrpxevcrdm.dll','');
QuarantineFile('C:\WINDOWS\system32\geyekrfddejxfm.dll','');
QuarantineFile('C:\WINDOWS\\system32\geyekrmjjjomwp.dat','');
QuarantineFile('C:\WINDOWS\system32\geyekrajgfquax.dat','');
DeleteFile('C:\Windows\system32\Drivers\vdkxnjky.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat". Не забудьте сохраниться именно в ту папку, где находится gmer.exe!).
[CODE]gmer.exe -killall
gmer.exe -del service geyekrasmxgwed
gmer.exe -killfile "C:\WINDOWS\system32\drivers\geyekrhvfrmdrr.sys"
gmer.exe -killfile "C:\WINDOWS\system32\geyekrpxevcrdm.dll"
gmer.exe -killfile "C:\WINDOWS\\system32\geyekrmjjjomwp.dat"
gmer.exe -killfile "C:\WINDOWS\system32\geyekrfddejxfm.dll"
gmer.exe -killfile "C:\WINDOWS\system32\geyekrajgfquax.dat"
gmer.exe -killfile "C:\Windows\system32\Drivers\vdkxnjky.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrasmxgwed"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\geyekrasmxgwed"
gmer.exe -reboot[/CODE]
И запустите cleanup.bat
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- [URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

После запуска cleanup.bat выскакивает окно

C:/Users/Vlad/Desktop/gmer.exe
The security ID may not be assigned as the owner of this object

И после каждой коммандной строчки скрипта: Access id denied

Пробовал Run as admimistrator, тогда вообще ничего не происходит

Сделайте новый лог gmer

Новый лон gmer

[COLOR="Red"][B]Внимание[/B][/COLOR][B]: cleanup.bat запускать [U]от имени Администратора по правой кнопке мыши[/U][/B]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service geyekrasmxgwed
gmer.exe -del file "c:\windows\system32\drivers\geyekrhvfrmdrr.sys"
gmer.exe -del file "c:\windows\system32\geyekrpxevcrdm.dll"
gmer.exe -del file "c:\windows\system32\geyekrmjjjomwp.dat"
gmer.exe -del file "c:\windows\system32\geyekrfddejxfm.dll"
gmer.exe -del file "c:\windows\system32\geyekrajgfquax.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrasmxgwed"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\geyekrasmxgwed"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Новый лог гмер

[U]Все последующие операции выполнять под администраторской учётной записью! [/U]
[URL="http://virusinfo.info/showthread.php?t=4905"]Системное восстановление отключить[/URL]!
Антивирусы, файерволы и прочие программы - отключить!

- Скачайте и распакуйте на диске С [URL="http://swandog46.geekstogo.com/avenger2/download.php"]вот этот архив[/URL].
- Запустите avenger.exe. В окне запроса нажмите [B]ОК[/B].
- Вставьте в окно следующий текст:
[CODE]Files to delete:
c:\windows\system32\drivers\geyekrhvfrmdrr.sys
c:\windows\system32\geyekrpxevcrdm.dll
c:\windows\system32\geyekrmjjjomwp.dat
c:\windows\system32\geyekrfddejxfm.dll
c:\windows\system32\geyekrajgfquax.dat

Drivers to delete:
geyekrasmxgwed[/CODE]
- Установите активными опции [B]Scan for rootkits[/B] и [B]Automatically disable any rootkits found[/B].
- Нажмите [B]Execute[/B].
- Во всех остальных появляющихся окнах жмите [B]ОК[/B].

Система перезагрузится.
После перезагрузки:
- Пришлите файл карантина из папки [B]C:\Avenger\backup.zip[/B] согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- [URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте повторный лог с помощью GMER.[/URL]
[I]gmer.log[/I]

backup.zip подгрузил

В логе чисто.

Сделайте еще раз логи AVZ

Новые логи AVZ
Можно радоваться исцелению? :)

Что с симптомами?
[QUOTE]Trojan блокирует работу антивируса и доступ к ряду сайтов.[/QUOTE]

Все функционирует как и должно.

Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ.