Крутой вирус

Здравствуйте. Хочу просить совета у специалистов как избавится от исключительно коварного вируса, который не удается удалить даже переустановкой операционки. Вирус блокирует запуск программы AVZ4.30, удалось ее все-же запустить переименовав файл в ZVA.EXE утилита фактически ничего не нашла. Но в менеждере процессов постоянно появляются процессы с названиями wpabaln.exe winkfhfh.exe
winjyefa.exe и тп. до бесконечности. Сразу после переустановки Windows XP, еще до запуска какой бы то нибыло программы, до загрузки драйвера модема, начинается та же история. Что делать?
Заранее спасибо.

нужны логи согласно правил.

вот логи и файлы созданные вирусом



[[color=#CC0000]moderated: файлы присылаются в соответствии с приложением 3 правил[/color]]

winmlfnai.exe - [b]Trojan.Proxy.3230[/b]
winlrqps.exe - [b]Trojan.Proxy.3230[/b]
winjvroek.exe - [b]Trojan.Spambot.3364[/b]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('C:\WINDOWS\System32\drivers\gnvfuq.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

спасибо. скрипт выполнил, avz стал загружаться без переименования имени его исполняемого файла, но вскоре все возобновилось. Вирус увеличивает на несколько сот килобайт размеры EXE файлов программ на диске, в т.ч. и самого avz.exe Переустановка системы не помогает.. Где он сидит? в boot секторе или в flash bios записался, тогда вообще хана. В безопасном режиме не грузится.

Нашел сходную тему, похоже там то-то же вирус
[url]http://virusinfo.info/showthread.php?t=24156[/url]

Прошу прощения у уважаемых администраторов форума, что-что то высылаю не в соответствии с установленными правилами, но комп у меня безбожно тормозит, и лазить по форуму изучая правила я пока не имею возможности. Во вложении зараженная копия avz.exe

Очень прошу помочь обезвредить вирус, работать невозможно..

Логи повторите.

выкладываю новые логи

вот еще лог с AVZ, расширение переименовал с htm на log

Нам вообще то нужны логи согласно [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], почитайте внимательно и вложите те логи, которые нам нужны.

вот здесь обновленные логи avz(2), hijackthis(1) [url]http://stream.ifolder.ru/6918460[/url]
Здесь модифицированный вирусом файл avz.exe [url]http://stream.ifolder.ru/6918507[/url]

пароль virus

А ещё раз правила прочитать?

вот еще один лог, после выполнения скрипта сбора информации для раздела "Помогите". Перед этим я выполнил ранее рекомендованный здесь скрипт от Akok, что-бы иметь возможность подключится к сети.

Давайте начнем лечение AVZ.exe модифицирован [b]Virus.Win32.Sality.z[/b], он лечится [url=http://virusinfo.info/showthread.php?t=15927]так[/url].
Но почему я не вижу в логах реакцию AVZ на, патч вирусом? Почему файлы проходят по базе безопасных?

Ладно и скрипт тогда:
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('aic32p', 4);
StopService('aic32p');
QuarantineFile('C:\WINDOWS\System32\drivers\gnvfuq.sys','');
DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winjwnr.exe');
DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winsejjqu.exe');
DeleteFile('C:\WINDOWS\System32\drivers\gnvfuq.sys');
DeleteService('aic32p');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

Если честно немного недопонял сюрреализма ситуации.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[code] Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]

н-да....уже SP3 увидел свет, а собираете по сети вирусню. Обновиться до SP3+IE7+хотфиксы.....Все это будете выполнять после лечения.

Как насчет того, чтобы отключить "Восст. системы"?

Скрипт для удаления:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aic32p');
DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winjwnr.exe');
DeleteFile('c:\docume~1\neuron~1\locals~1\temp\winsejjqu.exe');
DeleteFile('C:\WINDOWS\System32\drivers\gnvfuq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После этого сделай новые логи.

Скачал утилиту DrWeb CureIt, программа нашла почти во всех EXE файлах вирус Win32 Sector 5. После лечения, еще раз переустановил ОС, вроде пока чисто.
По всей видимости основной вирус подкачивал мелкие трояны и спам боты.
Еще раз хочу поблагодарить всех хелперов.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz.exe - [B]Virus.Win32.Sality.z[/B] (DrWEB: Win32.Sector.5)[/LIST][/LIST]