Очередная борьба с Internet Security.

В очередной организации компьютер снова заразился вымогателем, второй раз попадается Internet Security.
Пошел по проторенному пути.
Загрузился с DrWeb LiveCD, с помощью его MC почистил все Temp, временные файлы IE, куки, корзину, восстановление системы.
Загрузился с WinLiveCD. Установил AVPTool.
(кто может подсказать-почему при такой установке в процессе установки AVPTool несколько раз ругается, что установка не может быть выполнена, но при нажатии на ОК идет дальше, устанавливается и работает. Хотя вот полноценно ли работает?)
Проверил все диски. Был найден только ОДИН файл cmod.exe в папке Download с вирусом Hoax.Win32.Delf.b
После загрузки в нормальном режиме и попытке зайти в папку AVZ компьютер выключился.
После перезагрузки обнаружил в папке AVZ отсутствие запускающего файла.
Записал на ПК переименованную папку с переименованным AVZ.
Запустил,-такого еще не видел ни разу. Все менюшки в AVZ набором цифр и вопросов.
При повторном запуске его выскочил экран вируса.
Значит гадость живая и действует...
В защищенном режиме запуск переименованного AVZ вызывает экран вируса.
Полиморфный AVZ также вызывает появление экрана вируса.
Из всех моих случаев это самый сложный.
В нормальном режиме включаются отображение скрытых и защищенных файлов (до выхода из папки), любимого sdra64.exe не обнаружил.
Пришлось подбирать код на [URL]http://av.demozone.ru/[/URL]
После подбора кода и перезагрузки запустился в нормальном режиме, запустил переименованный AVZ с переименованной папки.
Сделал логи им и всеми другими программами.
HijackThis запустился с двумя ошибками. GMer не запускается.
Выкладываю. Жду помощи.
ПК конечно был заражен ужасно....;))
Есть файлы карантина...
И файл virusinfo_cure.zip

Уважаемые Гуру!
Хвала Вам за помощь! Мы понимаем Вашу занятость...
Но очень бы хотелось по возможности расширить Ваши ряды и ускорить помощь, чтобы мы, потерпевшие, не ждали по несколько часов.
Иначе это лечение растягивается на несколько суток...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 41 минуту[/I][/B][/color][/size]

Знатоки! Неужели настолько сложный случай?
(количество просмотров файлов увеличивается...количество советов стремиться к нулю...)

[size="1"][color="#666686"][B][I]Добавлено через 1 час 8 минут[/I][/B][/color][/size]

Специалисты! Плиз! Время идет, ПК выключен, работа стоит....
Нужели все спасовали?
(конечно format C: -самое действенное лекарстово...;))) )

Ничего подозрительного не видно.

Давайте я выложу карантин и virusinfo_cure.zip

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 34 минуты[/I][/B][/color][/size]

Карантин выкладывать и virusinfo_cure.zip ?
Т.к. ведь Gmer запускается, проходит немного стандартную проверку и вываливается с ошибкой.

[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]

Братцы! Ну помогите кто-нить...
Компьютер нужен на работе позарез, а чистый он или нет неизвестно....

1. В реестре есть блокировка Нода.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{b9f0fb08-846e-4d52-8e11-ab46538dbe7e}\C:\Program Files\ESET

Это надо зачистить.

2. Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\Documents and Settings\Просто так\Шаблоны\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Удалить задание в "Планировщике"

3. В Хиджаке - Config... -- Misc Tools.. -- Open ADs Spy -- сделать лог.
4.Повторить станд скрипт №2, прислать лог.

Понятно. Т.е. удлить эту ветку?
А как насчет карантина?
Все равно там что-то есть еще наверно.
Может посмотришь?
Сам карантин знаю куда выложить, а куда выкладывать virusinfo_cure.zip ?

а куда выкладывать virusinfo_cure.zip -- По красной ссылке загрузите.

Я верхнее письмо дописал.

на данный момент на машине нет такой ветки HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
Есть HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT
в ней дальнейшего пути (Safer\CodeIdentifiers\0\Paths\{b9f0fb08-846e-4d52-8e11-ab46538dbe7e}\C:\Program Files\ESET) тоже нет.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Но NOD действительно при запуске ПК не запускается.

сделаем так. AVZ - Файл - Восст системы -- п.6 отметить и выполнить.
После этого должен запуститься НОД.

Скрипт выдает ошибку
Undeclared identifier "SetAVPM" в позиции 4:9

Выслал карантин два файла

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Удалил левые задания в планировщике.
Выполнил п.6 (не помогло, НОД не запускается при перезапуске. В ручную запускается. Хотя надо посмотреть в процессах, возможно просто значка нет. Попробую переустановить его).
До этого уже сам выполнял почти все пункты Восстановления кроме сетевых.

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

После переустановки НОД запускается.
жду исправления скрипта.

Надо поискать:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
[/CODE]
Скрипт поправил.

3. В Хиджаке - Config... -- Misc Tools.. -- Open ADs Spy -- сделать лог.

При нажатии на кнопку Scan в Open ADs Spy сканирование происходит мгновенно, при наатии на save log ничего никуда не записывается (программу запускаю с корня диска С. Но она ругается, что типа нельзя запускаться с Темп)
Выкладываю обычный лог с Хиджака.

Указанной ветки в реестре нет.

Карантин не смотрел?

В карантин файл с обычным подозрениеи AVZ, оно скорее всего левое.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

{b9f0fb08-846e-4d52-8e11-ab46538dbe7e} - вот такой код в реестре поищи.

Проверить еще надо содержимое вот этого ключа:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

Хорошо поищу.
И вот что-после выполнения скрипта и перезагрузки винда нашла новое неопознанное устройство. Дрова конечно не нашла. Так и висит желтым в неизвестных.....

Это нормально, драйвер AVZ. Можно, кстати, удалить.

Код в реестре не нашелся именно такой полностью.
В указанной ветке есть куча подветок. Весьма странных.
Выкладываю кусок реестра.

Нет. Тут про Нод ничего нет.

По коду {b9f0fb08-846e-4d52-8e11-ab46538dbe7e} в реестре искал?

В корне диска С есть два странных файла Iotmrd.sys и ntuser.dat
Удалил, перегрузил, вроде все нормально.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Искал...нет такого.
Да НОД уже переустановил, нормально запускается.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

А последний лог AVZ нормальный?

Не могу включить языковую панель. Никаких сторонних ПО заменяющих ее не стоит.
В Панель управления-Языки и стандарты-Языки-подробнее-кнопка Языковая панель не активна.

[CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE - такой в автозапуске есть?