SMS-баннер

Товарищ попросил помочь, принес свой компьютер.
Проблема такая, - после окна "приветствие" при загрузке системы появляется баннер на весь экран о якобы зараженной системе с просбой отправить SMS.
Я загрузился с LiveCD, сделал логи.
Помогите пожалуйста.

Выполните скрипт в AVZ (из LiveCD):
[CODE]
begin
DeleteFile('C:\WINDOWS\system32\syschk32.exe');
end.
[/CODE]

Попробуйте загрузиться с зараженной системы в нормальном режиме и, если загрузится, сделайте новые логи.

Скрипт выполнил, система не загружается, выскакивает тот же баннер на весь экран.

м?)

Попробуйте получить код разблокировки на этих сервисах:
[url]http://support.kaspersky.ru/viruses/deblocker[/url]
[url]http://www.drweb.com/unlocker/index[/url]
[url]http://esetnod32.ru/support/winlock.php[/url]
Если получится разблокировать, сделайте логи.

Код разблокировки получил. Загрузился с системы.
Вот новые логи:

:(

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

[code]
F2 - REG:system.ini: Shell=explorer.exe,
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

[/code]

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
DeleteFile('C:\WINDOWS\system32\syschk32.exe');
DeleteFile('C:\WINDOWS\Tasks\SystemCheck.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите в обычном режиме, а не в безопасном.

В HiJackThis пофиксите:

[code]
F2 - REG:system.ini: Shell=explorer.exe,
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

Эти строчки в HiJackThis отсутствуют, поэтому пофиксить не могу.
Скрипты в AVZ выполнил, но архив quarantine.zip получился пустым почему-то. Присылаю карантин virus.zip

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Файл сохранён как 100206_130935_virus_4b6d3fdf5dac7.zip
Размер файла 2602766
MD5 d1d2705aadb43f8d0a9b74f676166beb
Файл закачан, спасибо!

Подготовьте новые логи в обычном режиме.

Новые логи:

[QUOTE='Белый Сокол;580394']Подготовьте новые логи в обычном режиме.[/QUOTE]
?
Зачем вы логи, загрузившись с livecd сделали? В [B]обычном[/B] режиме сделайте.

В обычном режиме комп не загружается, после окна загрузки Windows вылетает "синий экран смерти". Удалось загрузиться только в Безопасном режиме, вот логи:

Господа, подскажите что делать-то? :( Очень нужен комп..

[size="1"][color="#666686"][B][I]Добавлено через 1 час 30 минут[/I][/B][/color][/size]

Есть кто живой?(

В hijackthis пофиксите:

[CODE]F2 - REG:system.ini: Shell=explorer.exe,[/CODE]

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]

Удалось загрузиться в обычном режиме, нажал F8 и выбрал "Загрузка последней удачной конфигурации"
Ещё проблема - при попытке открыть Диспетчер задач, пишет что заблокировано администратором.
Логи MBAM и Gmer:

Выполните скрипт

[CODE]
begin
clearquarantine;
quarantinefile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
executerepair(11);
bc_importquarantinelist;
bc_activate;
rebootwindows(true);
end.
[/CODE]
после перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите по правилам. После отката у вас все восстановилось.

Файл сохранён как 100206_220740_quarantine_4b6dbdfccf68e.zip
Размер файла 3370123
MD5 2a0c681ac9b62754bb9663d4f0e65b52
Файл закачан, спасибо!

Логи:

Пофиксите в hijackthis:

[CODE]O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)[/CODE]

Выполните скрипт

[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
rebootwindows(false);
end.[/CODE]
Adobe Acrobat 6.0 - удалить! Поставьте последнюю версию. Java обновите.
Более ничего плохого не нахожу в логах. Проблема решена?

Поставил Adobe Acrobat Reader 9.3 и Java(TM) 6 update 18 Вроде это последние версии.
Проблема решена, по крайней мере никаких проблем я не замечаю.
Большое спасибо за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]