Моим знакомым после посещения сайтов с сомнительным содержанием (интим) был жестко наказан SMS баннером, изначально представившийся флэш плеером.

После запуска - появилось окно на весь экран в обычном и безопасном режиме, с требованием отправить смс номер 5373 или отправить смс номер 7250, с большим трудом удалось зайти в систему в безапасном режиме с поддержкой коммандной строки.

На рабочем столе, поверх окна командной строки наблюдался какой-то заголовок (посчитал его как раз за окно с смс), который ради интереса был убит перебором процессов. При дальнейших загрузках в этом режиме он не появлялся. Файлы процесса (kui441C.tmp и KUI441C.TMP-65A6B483.pf), располагавшиеся в c:\windows\prefetch (не совсем точно) C:\Users\%username%\AppData\Local\Temp
Из папок были удалены, но были отправлены на newvirus, вместе с еще 2-я kui441C.cbt и kui441C.qtd из директории C:\Users\%username%\AppData\Local\Temp.

И так когда стал возможнен запуск каких либо продуктов переходим в плотную к лечению наших любимых паразитов паразитов.

Скачаваем утилитину которая нам поможет справиться с этой гадастью, она лежит здесь

Вам нужно:
1) Запустить исполняемый файл Kaspersky Virus Removal Tool с правами Администратора
2) Скопировать предложенный ниже текст скрипта
3) Перейти на закладку Ручное лечение
4) Нажать в любом месте поля Шага 3 правой кнопкой мыши
5) В контекстном меню выберать Вставить
6) Нажать кнопку Выполнить
7) Дождаться окончания работы скрипта
8) Архив с подозрительными файлами будет сохранен в файле Рабочий стол\Virus Removal Tool\Quarantine\quarantine.zip

Запускаем первый скрипт. После его выполнения компьютер перезагшрузится.(без ********)

*****************************************************

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Sergey\Downloads\xxx_video_163981.avi.exe','');
DeleteFile('C:\Users\Sergey\Downloads\xxx_video_163981.avi.exe');
DeleteFile('C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.


*****************************************************

После перезагрузки проделываем токиеже операции со вторым скриптом
*****************************************************

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

*****************************************************

Полученный отчет quarantine.zip большая просьба отправлять на Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript для специалистов лаборатории касперского