Добрый день, форумчане.
Прошу вашей помощи. Симптомы: не запускается IE, не запускаются hijackthis и avz, даже при переименовании и изменении расширения и в безопасном, и в обычном режиме. Drweb livecd и cureit в безопасном режиме ничего не находят. Другие exe файлы запускаются нормально.
Выполнял: 1.1. Очистка временных файлов. 1.2. Восстановление системы. 2. Проверка системы антивирусами. 3. Сбор лог файлов для последующего их анализа. - невозможно по вышеприведенной причине.
XP SP3 плюс все обновления.

Drweb livecd и cureit в безопасном режиме ничего не находят »
простите а с liveCD вы можете загрузиться и проверить cureit -ом свою систему?

так же рекомендую попробовать полиморфный AVZ
http://ifolder.ru/12469206 скачаете здесь.

Проверял в безопасном режиме.
В принципе, могу. Только разве не достаточно drweb livecd?

Полиморфный тоже не запускается. Я писал выше.

Проверял в безопасном режиме. »
В принципе, могу. »
загрузитесь с liveCD и проверьте плиз, так же потом попробуйте полиморфный AVZ
если по вышеуказанной ссылке вам трудно будет скачать, скачайте его из подписи thyrex например

загрузитесь с liveCD и проверьте плиз, так же потом попробуйте полиморфный AVZ
если по вышеуказанной ссылке вам трудно будет скачать, скачайте его из подписи thyrex например »
Сделал. Результат ожидаемо отрицательный - ничего вредоносного не обнаружено.

Полиморфный AVZ запускается?

Нет.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Скачайте "OSAM" (Online Solutions Autorun Manager) (http://www2.online-solutions.ru/ru/download_file.php?p=65580).
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

Сейчас удалось запустить avz из командной строки с опцией AG=Y.

Вот. hijackthis не запускается.

Полиморфный AVZ древний. Потому и не запускался

Удалите в МВАМ все найденное

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rslwyl.exe','');
QuarantineFile('C:\WINDOWS\system32\pylylh.exe','');
DeleteFile('C:\WINDOWS\system32\pylylh.exe');
DeleteFile('C:\WINDOWS\system32\rslwyl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html).
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

Ответ лаборатории:
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

rslwyl.exe - Backdoor.Win32.Shiz.sn

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского


Логи будут попозже.

Свежие логи.

Лог hijackthis.

C:\Program Files\Common Files\keylog.txt удалите вручную

Выполните скрипт в AVZ
begin
ExecuTEREpair(20);
RebootWindows(true);
end. Компьютер перезагрузится.

Доступ к сайтам появился?

Да, все нормально. Тему можно помечать решенной. Спасибо всем помогавшим.