Подцепил вирус, он заблокировал: Деспечер задач,regedit,Безопасный режим/

Доброе время суток.
На днях подцепил вирус.
Вирус блокировал Virustotal.com,AVZ,деспечер задач,редакттирование реестора,безопасный режим(при выборе этого режима он перезагружался)
Проверил антивирусом AVG - он нашёл пару вирусов + обнаружил в AVPtools.exe вирус - Я проигнорировал. Запустил AVPtools тот ничего не обнаружил.
Сделал проверку cureIt - так же пусто.
Безопасный режим по прежнему не доступен!
После этих проверок начал запускаться AVZ. В логах красным шрифтом он обнаружил вирусы(вроде):
[CODE]Функция NtAllocateVirtualMemory (11) перехвачена (8056FBB6->F776C2C4), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtCreateThread (35) перехвачена (805840DD->F776D8F6), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtFreeVirtualMemory (53) перехвачена (805700B0->F776C550), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtOpenSection (7D) перехвачена (8057CF33->F776C0E2), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtQueueApcThread (B4) перехвачена (805AF421->F776D9FE), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtSetContextThread (D5) перехвачена (806340DB->F776DA4A), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtSystemDebugControl (FF) перехвачена (8064F4ED->F776BFF8), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtWriteVirtualMemory (115) перехвачена (805869E5->F776C660), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
7. Эвристичеcкая проверка системы
>>> Обратите внимание - заблокирован диспетчер задач
>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> E:\Program Files\messenger\msmsgs.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
[/CODE]

Прошу помощи, заранее спасибо!

UPD: Не работает ещё Skype
Недостаточно прав,для запуска exe файлов(DC++ в частности)

Уважаемый(ая) [B]m00nster[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

Извините,что кокретно от меня требуется?
Я не могу выйти в безопасный режим.

Логи нужны из нормального режима (см. раздел Диагностика)

[QUOTE=thyrex;834319]Логи нужны из нормального режима (см. раздел Диагностика)[/QUOTE]

Сделал то что вы просили

Вот ещё лог HijackThis (Там уже вирусные процесы вижу,которые не дают запускать антивирусы)
+вся информация в изображениях(с Process explorer не удалось скопировать текст)

Вот анализ на вирустотал: [url]http://www.virustotal.com/file-scan/reanalysis.html?id=aaa32606986a636008e6c1abb2fcaecca41fa76758afe7ef11c4ea904770fb1d-1318726021[/url]
Только беда в том,что эти файлы при закрытии процесса удаляются,и появляются файлы с другим названием.

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ekuyoo.pif','');
QuarantineFile('C:\autorun.inf','');
DeleteService('amsint32');
DeleteService('abp470n5');
DeleteFile('E:\WINDOWS\system32\drivers\mglqrg.sys');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\ekuyoo.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Какрантина нету(возможно я поспешил сделать новые логи)

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\qnjy.exe','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\qnjy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Отправил карантин.
Сделал логи:

Ваша система поражена файловым вмрусом.
Методика лечения описана здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url].
Рекомендую вариант с DrWeb LiveCD.

[QUOTE=Bratez;834391]Ваша система поражена файловым вмрусом.
Методика лечения описана здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url].
Рекомендую вариант с DrWeb LiveCD.[/QUOTE]
образ можно записывать так же с чистого компьютера?

[quote="m00nster;834393"]образ можно записывать так же с чистого компьютера?[/quote]
нужно ! записывать на незаражённом компе.

[QUOTE=regist;834394]нужно ! записывать на незаражённом компе.[/QUOTE]
по другому этот вирус не лечится?

Нет. AVZ тут бессильна.

Нашёл диск с ZverCD, в нём была прога по изменению разделов диска, через неё переименовал файл - который был прописан в автозапуске в формат .txt и удалил строчку c autorum.inf с обеих жёских дисков.
Но эта зараза каким то образом загрузилась заного...
Может удастся что нибудь сделать с програмой на ZverCd?
PS: могу выслать запароленый архив с той заразой,которую он запускает

Вручную Вы ничего не добьетесь. Не тратьте время напрасно. Используйте DrWeb LiveCD.

[QUOTE=Bratez;834411]Вручную Вы ничего не добьетесь. Не тратьте время напрасно. Используйте DrWeb LiveCD.[/QUOTE]
Так может попробывать вручную через программу удалить\изменить названия этих файлов.
Программа грузится с Диска(как при установки винды).

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[url]http://www.virustotal.com/file-scan/report.html?id=97364b30c2c6a1bd7fc9fc102c4497958c94551cdae09a53bbf183d3e14873d5-1318768596[/url] вот лог с вирустотала

Каких файлов? У вас все ехешники заражены.

Делайте, что Вам говорят, а не занимайтесь самодеятельностью

Кроме того, поищите в Интернете, что такое файловый вирус (Sality к ним и относится) и реально ли избавиться от него переименованием файла

[QUOTE=thyrex;834422]Делайте, что Вам говорят, а не занимайтесь самодеятельностью.

Sality к ним и относится[/QUOTE]
Благодарю вас!
Гугл натолкнул меня на [url]http://support.kaspersky.ru/faq/?qid=208636131[/url]
запустив эту программу он мне вылечил 297 файлов. После чего я смог зайти в безопасный режим и проверить AVZ(теперь компьютер просто летает!!) :

Логи нужны из нормального режима.

Обновите базы AVZ и переделайте логи

[QUOTE=thyrex;834496]Логи нужны из нормального режима.

Обновите базы AVZ и переделайте логи[/QUOTE]
Выкладываю:

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('amsint32');
DeleteFile('E:\WINDOWS\system32\drivers\mglqrg.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows

Сделайте новые логи

Выкладываю логи:

Плохого не видно

[QUOTE=thyrex;835286]Плохого не видно[/QUOTE]
И слава богу)
Благодарю за помощь. думаю нужно бы добавить в фак лечение этой заразы путём запуска файла)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\qnjy.exe - [B]Virus.Win32.Sality.bh[/B] ( DrWEB: Win32.Sector.23, BitDefender: Trojan.SalityStub.A, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )[/LIST][/LIST]