Прошу помощи в добивании Internet Security.

[Dimkaa]

Удалось своими силами 2 раз победить вирус Internet Security без применения LiveCD. Не давал ни в какую запустить AVZ. Если пробовать fix в HiJack - тут же запись пересоздавалась с другими параметрами. Вообщем никаких результатов не удавалось получить.
Но 2 раза получилось обойти его только утилитой HiJack.
Для этого понадобилось:
1. Переименовать утилиту HiJackThis в Hi...
2. Запускаем ее (Если вываливается окно IS то запускать из безопасного режима). Сканим БЕЗ ЛОГА (если задать с логом - то при создании лога в ребут отправлял компьютер.)
3. Обнаруживаем в 020 (или в 023) AppInit... ссылку на нашего зловреда.
4. Если вдруг подобного нет кликаем по кнопке Config. Закладка Ignorelist. (Во втором случае у меня он был тут прописан за счет этого в общем логе не виделся). Все что тут имеется удаляем.
5. Жмем Back и снова проверяемся без лога. Запоминаем (или записываем) путь к этому зловреду. (в пути будет скорее всего содержаться название потока, а на него не обращаем внимание, нас интересует конечный файл.)
6. Жмем Main Menu. Потом Open the Mics Tool section. Там кнопку Delete a file on reboot. Находим нашего зловреда - удаляем. На предложение о перезагрузке соглашаемся.
7. Собственно после этого 2 раза из 2 все начало работать. И появилась возможность сделать логи для выкладывания на viruslist.
Так на будущее - может пригодится... Ход действий может быть опасным если IS приклеится к каким нить жизненно-важным файлам. У меня поток был приклеен к шрифту и к файлу справки...

Собственно теперь прошу помощи профессионалов в чистке остатков этой гадости по логам AVZ и HiJack.

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\dllcache\msadds32.ax:eB6DnTRYXuG:$DATA','');
 QuarantineFile('C:\WINDOWS\Help\display.chm:eB6DnTRYXuG:$DATA','');
 QuarantineFile('oociu.sys','');
 DeleteFile('C:\WINDOWS\Help\display.chm:eB6DnTRYXuG:$DATA');
 DeleteFile('C:\WINDOWS\system32\dllcache\msadds32.ax:eB6DnTRYXuG:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + в дополнение сделайте лог Gmer

[Dimkaa]

Карантин по красной ссылке закачал. Новые логи AVZ и HiJack прилагаю.
Gmer выдает ошибку. Запускается. Начинает проверять и спустя около 5-10 секунд выдает "Обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства..."

[Bratez]

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
BC_ServiceKill('ajnndug');
BC_ServiceKill('apjebimf');
BC_ServiceKill('aqcytjh');
BC_ServiceKill('atruwzz');
BC_ServiceKill('bphzfhx');
BC_ServiceKill('dejkk');
BC_ServiceKill('dvinvngn');
BC_ServiceKill('gducmlwn');
BC_ServiceKill('hlicaxgce');
BC_ServiceKill('iezzcbp');
BC_ServiceKill('igcgh');
BC_ServiceKill('imgmaqe');
BC_ServiceKill('ivztm');
BC_ServiceKill('jaifaydi');
BC_ServiceKill('kklmhqsn');
BC_ServiceKill('knllag');
BC_ServiceKill('krmqkw');
BC_ServiceKill('kzflhxh');
BC_ServiceKill('ljtwagxch');
BC_ServiceKill('lldgast');
BC_ServiceKill('ltczfx');
BC_ServiceKill('mqcmunida');
BC_ServiceKill('nulgjgsuj');
BC_ServiceKill('ohpre');
BC_ServiceKill('oiidtq');
BC_ServiceKill('ongkwlex');
BC_ServiceKill('phuoqaoee');
BC_ServiceKill('qbmndnap');
BC_ServiceKill('quhths');
BC_ServiceKill('qvqxsudqx');
BC_ServiceKill('rhwxsxy');
BC_ServiceKill('snfcfl');
BC_ServiceKill('tkbgpcmnf');
BC_ServiceKill('ucnlceyfl');
BC_ServiceKill('ufvtuvhir');
BC_ServiceKill('upqkfvjlv');
BC_ServiceKill('vbzvxvw');
BC_ServiceKill('wdfrkr');
BC_ServiceKill('xprlzrmrv');
BC_ServiceKill('zfkxqg');
BC_ServiceKill('zpodf');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новый лог по п.2 раздела Диагностика.

Попробуйте еще раз сделать лог gmer, только предварительно отключите антивирус.

[Dimkaa]

Скрипт выполнил. Сделал новый лог прилагаю.
Gmer по прежнему начинает проверять. Вижу что удачно проверяет SYSTEM/CurrentControl....
Дальше зависает и вываливается та же ошибка. Касперского отключал и вообще закрывал все приложения....

[миднайт]

Скрипт отработал хорошо.
Поищите на диске файл oociu.sys с помощью AVZ, если таковой найдется, добавьте его в карантин и пришлите по правилам.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\help\display.chm:eb6dntryxug:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\dllcache\msadds32.ax:eb6dntryx ug:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Malware-gen )