Блокировка запуска KIS 6.0 WinWork, AVZ, HijackThis

[FR!]

Добрый день. На компьютере с Windows XP SP2 длительное время стоял Касперский Personal 5 версии. Он обновлялся и в целом был рабочим, как казалось мне, функции свои выполнял. Некоторое время назад, около недели, антивирус перестал запускаться при загрузке системы, но я не стал бить тревогу, потому что при запуске "руками" он совершенно нормально включался, более того, это был второй раз с подобным поведением антивируса, но это вылечивалось переустановкой.
Так как запускать антивирус надоело, было принято решение заменить его на Kaspersky Anti-Virus 6.0 for Windows Workstations. После установки антивируса (которая проходит в штатном режиме), когда инсталлятор просит нажать "Далее" для настройки клиента, сам клиент не запускается. Дистрибутив точно рабочий, проверен множество раз, всё работало на других компьютерах. Вот тут и возникло ощущение, что компьютер получил заражение. Дабы исключить неправильную установку, было произведено удаление дистрибутива средствами самого антивируса, заново он же установлен, но это не решило проблему. Был скачан "CureIt!", проверена система в безопасном и нормальном режиме быстрой и полной проверкой. Проверка не дала результатов, заражённых файлов не найдено. После этого был скачан AVZ и HijackThis. AVZ отказывался запускаться до тех пор, пока я не изменил расширение файла с .exe на .com. Аналогично сопротивлялся и HijackThis. Проверка AVZ не дала результатов. При помощи AVZ был проверен полностью системный диск. Проверка опять же не дала результатов, не были найдены подозрительные или опасные объекты. Была сделана и проверка AVPTool'ом. Негативных результатов нет. Являются ли вышеописанные отказы в запуске только этих программ признаком наличия вируса в системе?

Прилагаю логи, хотя однозначного вывода о наличии вируса сделать не смог:

[PavelA]

выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wpv201242489203.exe','');
 DeleteService('AlerterALG');
 DeleteService('WinpowermanagerNetlogon');
 QuarantineFile('C:\WINDOWS\system32\2052t.exe','');
 DeleteFile('C:\WINDOWS\system32\2052t.exe');
 DeleteFile('C:\WINDOWS\system32\wpv201242489203.exe');
 ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи заново. Карантин прислать по Правилам.

[FR!]

Скрипт выполнил. Логи во вложении. Карантин выслать не могу, он пустой.
Стал запускаться AVZ со своим родным расширением .exe.

[PavelA]

Выполнить:

Код:

procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('Cdaulap.sys','');
FixUpdate;
 ExecuteRepair(6);
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

Повторить логи.
Если что-то в карантин попадет, то прислать.
Доложить о самочувствии больного.

[FR!]

Перед запуском скрипта я сделал проверку синтаксиса. Она утверждает, что "Ошибка: ';' expected в позиции 2:1"
Ничего я исправлять не стал, но не потеряли ли вы ";"? =)

[PavelA]

Исправил.

[FR!]

Скрипт выполнил. Больной чувствует себя значительно лучше. Антивирус установился. Спасибо.
Логи в приложении. Карантин содержит два файла. Высылаю в архиве с паролем.

Спасибо большое за помощь. Вы не знаете ли, что за прелесть это могла быть?

[PavelA]

Для зачистки мусора:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('Cdaulap');
 DeleteFile('c:\windows\system32\Cdaulap.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

что было не скажу, ни одного файла нам не досталось. Единственное, что могу
сказать, что малваре старенькая. Такая была популярна с полгода назад.

[FR!]

Спасибо, всё работает.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены