Подчистить остатки - не запускается антивирусное ПО.

Принесли на прошлой неделе очередной ноут. Он был пролечен с LivaCD Dr.Web'a и потом ещё CureIt'ом для уверенности. Вроде как бОльшая часть заразы изведена, но осталась одна проблема - не запускается антивирусное ПО. Логи прикладываю

1. Please, disable System Restore and antivirus (if you have).
2. Execute this script in AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\Winov63.sys','');
DeleteService('Winyh20');
DeleteService('Winuc18');
DeleteService('Winov63');
DeleteService('Winah20');
DeleteService('Udk17');
DeleteService('tcpsr');
DeleteService('restore');
DeleteService('Mud70');
DeleteService('Hou53');
DeleteService('Aip76');
DeleteFile('C:\WINDOWS\System32\Drivers\Aip76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hou53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mud70.sys');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Udk17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyh20.sys');
DeleteFile('C:\WINDOWS\system32\djki397g.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler','{B5AF0562-94F3-42BD-F434-2604812C797D}');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler','{B5AC49A2-94F2-42BD-F434-2604812C897D}');
DeleteFile('WinCtrl32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyWinCtrl32','DLLName');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]
After reboot execute this script in AVZ:

[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.[/CODE]

Upload file C:\quarantine.zip, by link [url]http://virusinfo.info/upload_virus.php?tid=62693[/url]

3. Execute this script in AVZ:

[CODE]var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]

4. [URL="http://virusinfo.info/showthread.php?t=4491"]Fix in HijackThis:[/URL]

[QUOTE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/QUOTE]

5. Make a new logs.

In last script there is the mistake: system message is "Ошибка: Undeclared identifier: "RegKeyExistsEx" в позиции 12:19"

В скрипте нет ошибки. Вам необходимо скачать обычную версию AVZ 4.32, обновить базы и выполнить скрипт.

Ок
Сделано - АВЗ заработал.

Карантин загружен.

[I]Файл сохранён как 091208_092241_Quarantine_4b1df0b196867.zip
Размер файла 20317
MD5 75f0ae392148449e0e10c80f494864e6 [/I]

Симптомов вроде больше нет.... вроде всё работает.

Повторите логи.

Сделано.
Логи загружены

[QUOTE]Восстановление системы: включено[/QUOTE]
Отключить
[QUOTE]Внимание !!! База поcледний раз обновлялась 08.10.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Базы обновить, логи переделать

Сделано

- В логах ничего подозрительного.
- Установите [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Сервис Пак 3[/URL] - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].
- Обновите [URL="http://ru.openoffice.org/"]OpenOffice[/URL].

Спасибо всем большое за помощь и советы!

ЗЫ Ребят, вот всё хотел поинтересоваться, как вы так глубоко эту заразу находите и точно знаете какой скрипт надо написать? Вот тоже очень хочу научиться также :-) - у вас есть какой-либо материал по этому поводу или вы очень закрытая организация?

ЗЫЫ Да и кстати что за зараза-то в итоге была? Как хоть она называется?

[QUOTE=CyberDyne;528948]Вот тоже очень хочу научиться также :-)
[/QUOTE]
[url]http://virusinfo.info/profile.php?do=editusergroups[/url] и сделайте заявку на вступление в группу студентов. Запаситесь терпением: наплыв желающих больше, чем мы в состоянии обучить.
[QUOTE=CyberDyne;528948]
ЗЫЫ Да и кстати что за зараза-то в итоге была? Как хоть она называется?[/QUOTE]
C:\WINDOWS\system32\drivers\Winov63.sys-Trojan-Downloader.Win32.Mutant.aim

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\winov63.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] ( AVAST4: Win32:Agent-VGV [Wrm] )[/LIST][/LIST]