Не могу воспользоваться средствами диагностики для создания логов

[Shyviv]

Добрый день! ОС WindowsXP дней 5 назад перестал запускаться Eset Smart Security, броузеры, Крипто Про CSP перестал принимать дискету с ключами. В безопасном режиме CureIT нашел и удалил троянов: CopySelf.107, MulDrop, PWSIbank, Takealert. AVZ сразу же после запуска отключается и Windows ведет себя так, как будто только что запустился, аналогично HijackThis, AVPTool ничего не находит. Что нужно предпринять, чтобы всё-таки добиться запуска программы создающей лог. Переименование не помогает.

[Nikkollo]

Здравствуйте.
Попробуйтетак:
Скачайте в отдельную папку:
http://gjf.hotbox.ru/mink.pif
В этой же папке создайте в блокноте текстовый файл с такой строкой:

Код:

mink.pif AM=Y AG=Y

Сохраните файл, переименуйте его в mink.bat и запустите.
Если AVZ запустился, сделайте только пункт 2 раздела "Диагностика" правил и приложите здесь virusinfo_syscheck.zip.

[Shyviv]

Спасибо! Получилось...

[Nikkollo]

Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\qoylib.dll','');
 QuarantineFile('c:\windows\system32\ocojkln.exe','');
 QuarantineFile('C:\WINDOWS\system32\wquik.dll','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\07.tmp','');
 QuarantineFile('C:\WINDOWS\system32\0D1.tmp','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\system32\025.tmp','');
 QuarantineFile('C:\WINDOWS\system32\01F.tmp','');
 QuarantineFile('C:\WINDOWS\system32\regedt32.exe','');
 DeleteFile('C:\WINDOWS\system32\01F.tmp');
 BC_DeleteSvc('aimaaay');
 DeleteFile('C:\WINDOWS\system32\025.tmp');
 BC_DeleteSvc('cqqhpkqi');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 BC_DeleteSvc('lwaab');
 BC_DeleteSvc('obspim');
 BC_DeleteSvc('pozhdc');
 BC_DeleteSvc('qfbectft');
 BC_DeleteSvc('qwrud');
 DeleteFile('C:\WINDOWS\system32\0D1.tmp');
 BC_DeleteSvc('rgankht');
 BC_DeleteSvc('svxsilec');
 DeleteFile('C:\WINDOWS\system32\07.tmp');
 BC_DeleteSvc('uhgebzkm');
 BC_DeleteSvc('vsrcxh');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 DeleteFile('C:\WINDOWS\system32\wquik.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\zxldss\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\xwcebqruo\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wfhbdmy\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\tuxtx\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\tjggna\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\rrfln\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\owxviq\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nngygh\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mjdbwjmra\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ivinpn\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\hshnugzni\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\edofov\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\awrhgkr\Parameters','ServiceDll');
 DeleteFile('c:\windows\system32\ocojkln.exe');
 DeleteFile('C:\WINDOWS\system32\qoylib.dll');
 DelBHO('{FC421820-FF29-4EBB-800F-59A7B3BBB00C}');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Теперь попробуйте использовать обычный AVZ.
Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.

[Shyviv]

Вот что получилось

[Nikkollo]

Пофиксите в HijackThis:

Код:

O2 - BHO: MyCentria Internet Mate v2.3 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)

C:\Program Files\Nalog\ruoa.pif
C:\Program Files\Nalog\aoetk.pif
Эти файлы вам знакомы?

[Shyviv]

Пофиксила. Указанные файлы мне не знакомы, их не должно быть! Как следует поступить с ними: удалить?

Добавлено через 2 минуты

Работа броузеров и не работающих ранее приложений восстановилась, а вот Eset Smart Security не обновляется: ошибка распаковки файла. ПО лицензионное.

[Nikkollo]

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

PWSIbank

Забыл предупредить. Это похититель паролей интернет-банкинга. Смените пароли,если пользуетесь ими.

Попробуйте переустановить Eset Smart Security.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\ocojkln.exe - Backdoor.Win32.Shiz.aln ( DrWEB: Trojan.Inject.12617, BitDefender: Spyware.12847, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )