Приветствую всех! Прошу помощи!
Проблема: был пойман вирус - смс-вымогатель, через безопасный режим с поддержкой коммандной строки изменила параметры регистра Shell на explorer.exe (в строке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon), сам файл удалила, теперь не работает рабочий стол, пуск, диспетчер задач. Логи прилагаю

Добрый день!

Почему логи из безопасного режима? В нормальном режиме система не грузится?

Проверьте файл на www.virustotal.com и дайте ссылку на результат.
C:\WINDOWS\nvsvc32.exe

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\nvsvc32.exe','');
QuarantineFile('C:\Downloads\xxx_video.avi.exe','');
DeleteFile('C:\Downloads\xxx_video.avi.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту (http://www.oszone.net/virusnet/) форму.

• Пофиксите в HiJackThis (http://www.forum.oszone.net/post-1430293-2.html)
Отметьте галочками указанные строки и нажмите Fix Checked.
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - (no file)

Сделайте новые логи AVZ и RSIT, загрузившись в нормальном режиме!

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

MSIE: Internet Explorer v7.00 (7.00.6000.20978)
Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/), даже если им не пользуетесь!

Спасибо за помощь!
В нормальном режиме система грузилась, но рабочий стол был девственно чист, запустить сканирование получалось только в безопасном режиме, что я и делала.
Проверьте файл на www.virustotal.com и дайте ссылку на результат.
Код:
C:\WINDOWS\nvsvc32.exe »

Файл отправить не смогла, так как не получилось его найти
Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь! »
Обновила

Все вроде заработало. Вот новые логи

Удалите в MBAM
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor (Backdoor.Agent) -> Value: NVIDIA driver monitor -> No action taken.

Проверьте на www.virustotal.com.
c:\program files\OpeeraAC.exe
c:\program files\savehwids.exe
c:\WINDOWS\nastroyki.exe
c:\WINDOWS\Finalize.exe
Дайте ссылки на результаты проверок.


Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Downloads\xxx_video.avi.exe');
DeleteFile('C:\WINDOWS\nvsvc32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','NVIDIA driver monitor');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи AVZ и MBAM

Новые логи.

Файлы проверили на www.virustotal.com? В новом логе их не вижу, удалили?

Есть еще проблемы?

Я их тоже не обнаружила, проблем пока нет. Огромное спасибо за помощь!

Важные пароли смените.

Очистите временные файлы:
Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Установите все обновления Windows (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru)

Для предотвращения заражения рекомендую вам не работать за компьютером с правами администратора, использовать браузер Firefox с дополнением NoScript (https://addons.mozilla.org/ru/firefox/addon/722/).
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
Регулярно устанавливать обновления windows и обновлять антивирусные базы.