Перезагружается рабочий стол при наведении курсора мыши на папки с названиями AVZ, HijackThis и т.д.

[slove]

Добрый день!
Заразился зловредом. В безопасном режиме CureIt нашёл 4 инфицированных объекта и благополучно их удалил/поместил в карантин. После перезагрузки, обнаружилось странное поведение рабочего стола - при попытке навести курсор на папки с названиями AVZ, HijackThis и т.д. он перезагружается.
Также удалось установить, что программы AVZ, HijackThis, AVPTool запускаются только при отключённом explorer.exe (Даже в безопасном режиме). При запуске explorer.exe программы "вылетают". Опытным путём) удалось выяснить, что только AVPTool остаётся "жить" даже при повторно запущенном explorer.exe. Более того, если при запущенной AVPTool запустить AVZ и HijackThis, а потом запустить explorer, то и они продолжают свою работу.
Также нашлась странная папка в Documents and Settings\Admin\Application Data\. Ее название - 3426CFECa в ней еще одна папка keys. Обе папки пустые, но не удаляются. При принудительном удалении через командную строку, появляется снова после перезагрузки.
Программой Process Explorer удалось выяснить, что процесс explorer.exe обращается к этой папке.
После сканирования HijachThis-ом в логе увидел незнакомый процесс - jiloged.exe, который прописан в реестре вместе с userinit.exe. По моему это и есть зловред!!! Там же в реестре похоже он создает строковый параметр 3426cab6 со значением C:\WINDOWS\system32\jiloged.exe.
Просьба помочь в этом нелегком, но интересном сражении с невидимым врагом

П.С. Лецинзионный Доктор Веб проявил себя не с лучшей стороны, не оказав абсолютно никакой поддержки в Такой важный момент. На будущее хотелось бы попросить очень нужного совета - как можно по максимуму обеспечить сохранность территории семейства Windows XP и какие профилактические работы, если таковые имеются, можно для этого проводить ?

Заранее Огромное спасибо!

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 QuarantineFile('C:\WINDOWS\system32\jiloged.exe','');
 DeleteFile('C:\WINDOWS\system32\jiloged.exe');    
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[slove]

Огромное спасибо!
Скрипт выполнил, логи повторяю.

Единственное прошу прощения, но я удалил jiloged.exe до Вашего ответа... Поэтому в карантине только два .ini файла (наверное они и говорят о том, что файла уже нет). Если нужно, из карантина доктора веба смогу прислать два очень похожих exe-файла, которые он смог обнаружить. Они точно связаны с удаленным файлом.

Компьютер ведет себя замечательно, замеченных ранее сбоев нет. В реестре чистенько.

[thyrex]

Карантин DrWeb удалите. В остальном порядок

[slove]

Большое спасибо!
Рекомендации по уходу за "Окнами" нашёл, в более чем развернутой форме, поэтому вопросов больше нет! Можно закрываться!

[olejah]

Как сказал бы thyrex - смените все пароли

Это не шутка, пароли надо менять.

[slove]

Это я сразу понял, так как еще нашел файл в котором был список сайтов и список паролей и явок к каждому)))

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены