Я этот вирус поймал позавчера, касперский и аваст не отреагировали.
Находился в файле кряка к программе, кряк рабочий, но был заражен.

Вредоносное ПО блокирует доступ в интернет и якобы от имени провайдера предлагает активировать "резервные каналы" посредством сотового телефона.

1 августа, AmurMedia. Национальная телекоммуникационная компания "Ростелеком" сегодня распространила официальное заявление, в котором сообщает о появлении в Сети нового вируса - вредоносного программного обеспечения (ПО), которое при заражении компьютера пользователя блокируюет доступ к сети Интернет якобы из-за "перегрузки каналов" связи, сообщила РИА AmurMedia пресс-служба Хабаровского филиала ОАО "Ростелеком". После заражения компьютера данное ПО предлагает абонентам активировать "резервные каналы" подключения к Интернет путем указания номера своего мобильного телефона или с помощью отправки SMS.
По информации "Ростелекома", в последние дни ряд подобных случаев был зафиксирован несколькими российскими Интернет–провайдерами. В компании не исключают, что распространение вируса, несмотря на предпринимаемые меры, может продолжиться, в том числе и среди пользователей Хабаровского края.
В связи с этим, "Ростелеком" считает необходимым сообщить следующее:
Данное ПО является компьютерным вирусом, который был написан, по-видимому, для реализации мошеннической схемы по получению незаконных доходов путем введения абонентов в заблуждение.
Ни "Ростелеком", ни другие провайдеры услуг доступа к сети Интернет не имеют к этому ПО никакого отношения.
"Ростелеком" никогда не оказывал услуг по предоставлению и активации резервных каналов доступа в Интернет путем отправки кодов в SMS -сообщениях.
Фальсифицированные страницы, сделанные по образцу страниц официальных сайтов провайдеров, в т.ч. "Ростелекома", никогда на сайтах компаний–провайдеров не располагались и содержат информацию, не соответствующую действительности. Предположительно эти страницы показываются из-за подмены IP-адреса доменов типа rostelecom.ru локально на компьютере пользователя (например, через файл hosts).
При заражении компьютера пользователя упомянутым ПО и появлении подобных страниц с предложением разблокировать доступ в Интернет путем указания номера своего мобильного телефона или с помощью отправки SMS "Ростелеком" рекомендует:
Не направлять номера своих мобильных телефонов или SMS для разблокировки доступа в Интернет.
Как можно скорее проверить свои компьютеры с помощью антивирусного ПО на наличие вируса и удалить его.
В случае, если пользователи все-таки стали жертвой мошеннических действий со стороны авторов этого вируса и понесли материальный ущерб "Ростелеком" рекомендует обратиться с соответствующим заявлением в органы внутренних дел.
Кроме того, "Ростелеком" сообщает, что сеть компании работает без перегрузок, обеспечивая надежную и эффективную передачу интернет–трафика.
"Ростелеком" намерен решать возникшую проблему в тесном взаимодействии с российскими производителями антивирусного ПО, а также обратиться в уполномоченные органы для установления авторов данного вредоносного ПО, чтобы предъявить им претензии в установленном законом порядке.


Лечение avz - скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\xmksmsa.dll','');
DeleteFile('C:\WINDOWS\system32\xmksmsa.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

перед этим отключить все антивирусы, интернет.