СМС-вымогатель (частный случай)

[MarkusUA]

Ребят, нужна помощь в лечении компьютера от этого недуга. Перелопатил по сабжу кучу материала в сети, перепробовал массу варианту, но результата нет...

Заблокированы диспетчер задач, редактор реестра, не запускается практически никакой другой софт. Также блокируются всевозможные антвирусные утилиты, в том числе и AVP, даже в безопасном режиме

Deblocker Касперского не помогает
Загрузится с Kaspersky LiveCD не могу - ни в обычном, ни в rescue-safe режиме
Процесс загрузки виснет в месте:
PCI: BIOS bug: MCFG area at e0000000 is not E820-reserved
PCI: Not using MMCONFIG

Смог загрузится с Mini Windows XP, которая идет с Hirens Boot CD. AVPTool запустить в нем не могу - пишет, что не зватает каких-то dll-ок. CureIt запустился, нашел и удалил кучу всяких Trojan.DownLoad1.16161 в c:\documents and settings\1\local settings\temp\, но это не помогло.

Смог вытащить пофайлово реестр и просмотреть на другом ПК. Убрал подозрительные автораны, также убрал "c:\windows\system32\sdra64.exe" из Userinit. После этого вернул все обратно на больную машину, но и это не дало результатов...

Please help

[pig]

Раз у вас частный случай, так напишите, как ОНО себя называет, какой текст и на какой номер хочет.

[MarkusUA]

В моем конкретно случае зараза зовет себя iMax Download Manager
номер: 3649
текст: M204111200
Ввожу полученный код, но ничего не происходит

[MarkusUA]

С горем пополам смог запустить AVP Tool из-под загрузочного диска. Нашел и удалил много всего интересного. В основном, это Trojan-Downloader.Win32.Piker.pa и Packed.Win32.Krap.w. Еще был такой зверек как Trojan.JS.Popupper.ad

Загрузка с зараженной ОС дала первые признаки жизни Однако при попытке отключить восстановление системы обнаружил следующее. Во-первых, не нашел вкладку восстановления в свойствах системы. Во-вторых, попытка запуска самого восстановления через "Пуск - стандартные и т.д." вызвала ошибку "Восстановление системы отключено групповой политикой". Открыть редактор групповой политики не мог - ругается "Не удалось найти gpedit.msc". Сама Служба восстановления системы запускается вручную и сражу же автоматически останавливается.

В общем, не знаю, насколько это критично, но высылаю логи с учетом всего вышесказанного

[DefesT]

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\xxjlo.dll','');
 DeleteFile('C:\WINDOWS\system32\xxjlo.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пофиксите в Hijackthis:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\xxjlo.dll

Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log

[MarkusUA]

Все сделал
При перезагрузке системы (сразу после скрипта) во время завершения работы очень долго "думал", но все-таки ушел на перезагрузку сам
Карантин пуст. Точно так же, как и virusinfo_cure.zip
Восстановление системы "починилось"
Высылаю логи повторно

[DefesT]

В логах ничего плохого. Internet Explorer обновите до 8 версии.