Блокируется запуск антивирусных программ.

[Usabur]

Начну с небольшой предыстории...
Была следующая проблема:
- не обновлялся антивирус
- блокировался доступ к антивирусным сайтам.
Полазил по Интернету, в итоге нашел причину. Пришлось удалить кучу строк в файле реестра вот в этом разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes
После этого появился доступ к антивирусным сайтам.
Скачал программы Virus Removal Tool и DrWeb Cure It.
Запустить их удалось не сразу. Через Проводник сделать это не удавалось, запускал их через TotalCommander. Программы нашли несколько вирусов, которые вылечили, но проблема запуска антивирусных программ из Проводника осталось. Кроме этого при открытии Папки с антивирусом программа Explorer.exe или перегружается или просто вылетает. Антивирусные программы запускаются только из TotalCommander-а в тот момент когда explorer.exe не работает. Хотя и Virus Removal Tool и DrWeb Cure It говорят что все чисто.
Кроме этого в файле реестра в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
у параметра userinit стоит значение:
c:\windows\system32\userinit.exe,c:\windows\system 32\jextgoc.exe,
который как я понимаю указывает на вероятность вируса в файле jextdoc.exe, хотя прогонял этот файл в вышеуказанных программах, но они ничего подозрительного в нем не обнаружили. Программа AVZ4 также сказала что все чисто.
Так же в этом же разделе реестра у параметра 5c59ce1c стоит значение с тем же подозрительным файлом:
C:\WINDOWS\system32\jextgoc.exe
Прогнал этот файл через http://www.virustotal.com/
Получил следующие результаты:
- Comodo 6680 2010.11.11 TrojWare.Win32.Trojan.Agent.Gen
- Microsoft 1.6301 2010.11.10 Trojan:Win32/Meredrop
Конечно можно было исправить значение параметра userinit, но файл с вирусом то останется, поэтому я решил обратиться сюда.
Это все что я сумел накопать по этой проблеме...
Логи прилагаю...
Заранее благодарю за помощь...

[Nikkollo]

Отключите Восстановление системы.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\ToolBand.dll','');
 QuarantineFile('c:\windows\system32\jextgoc.exe','');
 DeleteFile('c:\windows\system32\jextgoc.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.

[Usabur]

После выполнения скриптов заметил следующие изменения:
a) AVZ4 без проблем запустился из Проводника
b) в папке C:\WINDOWS\system32 пропал файл jobexec.exe, вместо него появился файл jobexec.dll
c) в этой же папке появился "странный" файл jiysazf.exe которого раньше вроде не было.
Не знаю, важно это или нет, но прогнав его через VirusTiotal
получил след. результаты:
- BitDefender 7.2 2010.11.11 Trojan.Generic.4983321
- Comodo 6682 2010.11.11 TrojWare.Win32.Trojan.Agent.Gen
- eSafe 7.0.17.0 2010.11.09 Win32.Trojan
- F-Secure 9.0.16160.0 2010.11.11 Trojan.Generic.4983321
- GData 21 2010.11.11 Trojan.Generic.4983321
- Ikarus T3.1.1.90.0 2010.11.11 Trojan.SuspectCRC
- NOD32 5609 2010.11.11 Win32/Spy.Shiz.NAL
- nProtect 2010-11-11.01 2010.11.11 Trojan.Generic.4983321
- Symantec 20101.2.0.161 2010.11.11 WS.Reputation.1
- TheHacker 6.7.0.1.081 2010.11.10 Trojan/Spy.Shiz.nal
d) в файле regedit в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра Userinit стало C:\WINDOWS\system32\userinit.exe,
e) в этом же разделе значение параметра 5c59ce1c осталось прежним C:\WINDOWS\system32\jextgoc.exe

Это все что заметил.
Провел диагностику. Файлы прилагаю.

[Nikkollo]

По логам больше активных зловредов не обнаружил.

e) в этом же разделе значение параметра 5c59ce1c осталось прежним C:\WINDOWS\system32\jextgoc.exe

Удалите его вручную.

b) в папке C:\WINDOWS\system32 пропал файл jobexec.exe, вместо него появился файл jobexec.dll
c) в этой же папке появился "странный" файл jiysazf.exe которого раньше вроде не было.

Заархивируйте эти файлы в формате zip с паролем virus и загрузите архив по красной ссылке вверху темы "Прислать запрошенный карантин".

На всякий случай сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.

AVZ подозревает вот это:

Код:

Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\ToolBand.dll ЭПС: подозрение на AdvWare.KlikBar.b, AdvWare.ToolBar.ToolBand

Но антивирусы его не детектят.
Вас там реклама не достает?

[Usabur]

Параметр в regedit - удалил.
Файлы в запрошенный карантин - отправил.
Реклама - не достает. Вообще не замечал такой проблемы.
Логи - прилагаю.

[Nikkollo]

Посмотрите блокнотом в файле C:\Program Files\Common Files\keylog.txt
и C:\Documents and Settings\BelovA\Application Data\avdrn.dat
нет ли там ваших паролей.
Если даже нет, то все равно рекомендую сменить все ваши пароли (почта, интернет-банкинг, форумы, сайты.. и т.д и т.п.)

Удалите в MBAM все что в его логе, кроме ваших кейгенов.
(хотя и кейгены можно удалить, если не уверены в их безопасности)

Файл jiysazf.exe удалите вручную.

Что сейчас с проблемами?

[Usabur]

Файлы удалил. Внешне, никаких проблем не наблюдается.

Спасибо за оперативное и профессиональное решение вопросов.
Желаю вам удачи...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\jextgoc.exe - Backdoor.Win32.Shiz.amh ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.5084540, AVAST4: Win32:Malware-gen )
  2. \\jiysazf.exe - Backdoor.Win32.Shiz.aty ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4983321, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )