Решена - Вирус вымогатель Win32/LockScreen.AQE троян, как удалить?

На ноут словили вирус-вымогатель. Меня как главного IT-шника семьи попросили "починить"

Что было сделано:
1. Попытка запуска в безопасном режиме (для сканирования AVZ) - безрезультатно
2. Попытка загрузки Live CD - без результатно
3. Вынул жеский диск из ноута, подключил к стационарному ПК, сканировал
а) NOD32 - ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KSOLXNUK\6[1].exe Win32/LockScreen.AQE троянская программа очищен удалением - изолирован
б) AVZ - ничего

* воспользоваться Kaspersky Deblocker Mobile в голову не пришло.

Прошу проверить "остатки заразы".

Логи:
образ автозапуска - http://rghost.ru/57344279
логи HiJackThis - http://rghost.ru/57344308
логи AVZ - http://rghost.ru/57344340

P.S. Ноутом пользовался неопытный "юзер", система грязная (возможно), буду признателен если отнесетесь с пониманием

[mod="Nod"]

Внимание посетителям форума!

Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).​

Если вы обнаружили следующие признаки:

(Вирус вымогатель Win32/LockScreen.AQE троян)

1. Сделайте Логи как показано в -
2. Создайте тему в разделе по борьбе с вирусами, с полным описанием проблемы и ссылками на Образ автозапуска в uVS и на логи утилит AVZ, HiJackThis. (virusinfo_syscure.zip, hijackthis.log).

После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.

[/mod]

 

Доброго времени суток!

1. В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.83 BETA 13 [http://dsrt.dyndns.org]
;Target OS: NTv6.0

delall %SystemDrive%\USERS\ACER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KSOLXNUK\6[1].EXE
delall D:\DJAVOLE///DAVNOSU.EXE
delall D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\AUTORUNME.EXE
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
exec "C:\PROGRAM FILES\WINAMP\EMUSIC\UNINST-EMUSIC-PROMOTION.EXE"
exec "C:\PROGRAM FILES\WINAMP TOOLBAR\UNINSTALL.EXE"
regt 1
regt 2
regt 3
regt 16
regt 18
deltmp
delnfr

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

2. Cделайте лог MBAM (подробнее) и
дайте ссылку на файл лога.*выполнять обязательно!
Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

 

Сделал.
Удалил предложенное, на все запросы отвечал "да"
После этого открылось 3 окна Internet Explorer, ожидаемого перезапуска системы не произошло.
Перезагрузил вручную.
Остальное - по инструкции
Лог-файл
http://rghost.ru/private/57362793/27ac2787f8fa1c23f1198e547959c8d1

 

Удалить все записи в программе.

Что с проблемой?

 

Вроде все работает, повторный скан ничего не нашел.
Спасибо!

 

Выполните на досуге
http://forum.esetnod32.ru/forum9/topic3998/