Прошу помощи в добивании Internet Security.

Удалось своими силами 2 раз победить вирус Internet Security без применения LiveCD. Не давал ни в какую запустить AVZ. Если пробовать fix в HiJack - тут же запись пересоздавалась с другими параметрами. Вообщем никаких результатов не удавалось получить.
Но 2 раза получилось обойти его только утилитой HiJack.
Для этого понадобилось:
1. Переименовать утилиту HiJackThis в Hi...
2. Запускаем ее (Если вываливается окно IS то запускать из безопасного режима). Сканим БЕЗ ЛОГА (если задать с логом - то при создании лога в ребут отправлял компьютер.)
3. Обнаруживаем в 020 (или в 023) AppInit... ссылку на нашего зловреда.
4. Если вдруг подобного нет кликаем по кнопке Config. Закладка Ignorelist. (Во втором случае у меня он был тут прописан за счет этого в общем логе не виделся). Все что тут имеется удаляем.
5. Жмем Back и снова проверяемся без лога. Запоминаем (или записываем) путь к этому зловреду. (в пути будет скорее всего содержаться название потока, а на него не обращаем внимание, нас интересует конечный файл.)
6. Жмем Main Menu. Потом Open the Mics Tool section. Там кнопку Delete a file on reboot. Находим нашего зловреда - удаляем. На предложение о перезагрузке соглашаемся.
7. Собственно после этого 2 раза из 2 все начало работать. И появилась возможность сделать логи для выкладывания на viruslist.
Так на будущее - может пригодится... Ход действий может быть опасным если IS приклеится к каким нить жизненно-важным файлам. У меня поток был приклеен к шрифту и к файлу справки...

Собственно теперь прошу помощи профессионалов в чистке остатков этой гадости по логам AVZ и HiJack.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:


[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\dllcache\msadds32.ax:eB6DnTRYXuG:$DATA','');
QuarantineFile('C:\WINDOWS\Help\display.chm:eB6DnTRYXuG:$DATA','');
QuarantineFile('oociu.sys','');
DeleteFile('C:\WINDOWS\Help\display.chm:eB6DnTRYXuG:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\msadds32.ax:eB6DnTRYXuG:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + в дополнение сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]

Карантин по красной ссылке закачал. Новые логи AVZ и HiJack прилагаю.
Gmer выдает ошибку. Запускается. Начинает проверять и спустя около 5-10 секунд выдает "Обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства..."

Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('ajnndug');
BC_ServiceKill('apjebimf');
BC_ServiceKill('aqcytjh');
BC_ServiceKill('atruwzz');
BC_ServiceKill('bphzfhx');
BC_ServiceKill('dejkk');
BC_ServiceKill('dvinvngn');
BC_ServiceKill('gducmlwn');
BC_ServiceKill('hlicaxgce');
BC_ServiceKill('iezzcbp');
BC_ServiceKill('igcgh');
BC_ServiceKill('imgmaqe');
BC_ServiceKill('ivztm');
BC_ServiceKill('jaifaydi');
BC_ServiceKill('kklmhqsn');
BC_ServiceKill('knllag');
BC_ServiceKill('krmqkw');
BC_ServiceKill('kzflhxh');
BC_ServiceKill('ljtwagxch');
BC_ServiceKill('lldgast');
BC_ServiceKill('ltczfx');
BC_ServiceKill('mqcmunida');
BC_ServiceKill('nulgjgsuj');
BC_ServiceKill('ohpre');
BC_ServiceKill('oiidtq');
BC_ServiceKill('ongkwlex');
BC_ServiceKill('phuoqaoee');
BC_ServiceKill('qbmndnap');
BC_ServiceKill('quhths');
BC_ServiceKill('qvqxsudqx');
BC_ServiceKill('rhwxsxy');
BC_ServiceKill('snfcfl');
BC_ServiceKill('tkbgpcmnf');
BC_ServiceKill('ucnlceyfl');
BC_ServiceKill('ufvtuvhir');
BC_ServiceKill('upqkfvjlv');
BC_ServiceKill('vbzvxvw');
BC_ServiceKill('wdfrkr');
BC_ServiceKill('xprlzrmrv');
BC_ServiceKill('zfkxqg');
BC_ServiceKill('zpodf');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог по п.2 раздела Диагностика.

Попробуйте еще раз сделать лог gmer, только предварительно отключите антивирус.

Скрипт выполнил. Сделал новый лог прилагаю.
Gmer по прежнему начинает проверять. Вижу что удачно проверяет SYSTEM/CurrentControl....
Дальше зависает и вываливается та же ошибка. Касперского отключал и вообще закрывал все приложения....

Скрипт отработал хорошо.
Поищите на диске файл oociu.sys с помощью AVZ, если таковой найдется, добавьте его в карантин и пришлите по правилам.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\help\display.chm:eb6dntryxug:$data - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\dllcache\msadds32.ax:eb6dntryxug:$data - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Malware-gen )[/LIST][/LIST]