Помогите очиститься от вирусов + не работает удаление программ

[Drug0y]

На компе найдены были вирусы, часть из них, кажется, до сих пор активна.
Я пытался поставить Comodo Internet Security, сначала вообще сайты антивирусов, этот сайт и сайт комодо не открывались, тогда я CureIt-ом нашёл и убил пару вирусов.
Потом установил всё же CIS, и то ли с ним это связано, то ли с чем-то ещё... после перезагрузки-двух комп стал зависать на этапе "загрузка windows", (это последний шаг перед выбором пользователя в системе) т.е. комп не зависает, но и дальше загрузка не идёт. Через 2 часа вроде всё "отвисло" и следующая перезагрузка была уже нормальной, потом снова с таким зависанием. В безопасном режиме грузится нормально. Убрал CIS из автозагрузки (в безопасном режиме) и загрузился в обычном режиме - всё снова ок, но:
1. вирусы всё же остались (это видно из логов AVZ)
2. + появилась проблема: не могу через "установку и удаление программ" удалить ни 1 программу - пишет ошибку:
"Нет доступа к службе установки Windows. Возможно система запущена в безопасном режиме или Windows Installer установлен неправильно. Обратитесь в службу поддержки".

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Temp\ALSysIO.sys','');
 DeleteService('ALSysIO');
 DeleteFile('C:\Temp\ALSysIO.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Внимание !!! База поcледний раз обновлялась 25.10.2009 необходимо обновить базы при помощи автоматического обновления

Обновите базы!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer

[Drug0y]

Выполните скрипт

Код:

...

выполнил

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Результат загрузки
Файл сохранён как 100409_192742_Quarantine_4bbf476ea82e9.zip Размер файла 11976415 MD5 9b8bfc9a30d52fba732d3387756d33ac

Обновите базы!

спасибо, сам не заметил (может автор мог бы приделать промт на автоапдейт при запуске авз?). Обновил.

Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer

чего-то он ну уж очень долго сканирует, проц повесил под 100%, хотя вроде даже сканирование уже завершено, но сделать ничего не возможно, т.к. комп на каждый клик минут по 5 отзывается... попозже попробую лог вытащить и сюда его залить. Пока могу лишь сказать что он ругался на ajwsg, называя его руткитом и что он встроился в svchost.exe (в этом логе hijackthis-a этот процесс даже не в списке запущенных теперь, возможно поэтому и ругается "установка и удаление программ")

update:
добавил лог GMER

[Drug0y]

при сканировании gmer-ом процесс lsass.exe ест 50% ресурсов ЦПУ, а оставшиеся 49% - сам gmer. Стоит ли прибить lsass.exe в таком случае?

приаттачил лог gmer-а со снятой галкой "файлы" при сканировании.

[Шапельский Александр]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится u8q0cmwb.exe (gmer)

Код:

u8q0cmwb.exe -del service  ajwsg  
u8q0cmwb.exe -del file "C:\WINDOWS\system32\tekyecd.dll"
u8q0cmwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ajwsg"
u8q0cmwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ajwsg"
u8q0cmwb.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится. Сделайте новый лог Gmer

[Drug0y]

shapel, вообще он 2-жды ругнулся: 1. не удалось удалить такой сервис 2. нет такого файла tekyecd.dll, но повторный скан не выявил больше руткита, кажется он был убит при выполнении проверки.
лог гмер-а не могу показать, т.к. при проверке файлов гмер вешает систему, и потом даже если прибить его процесс - комп уже практически ни на что не реагирует.
осталась проблема, что невозможно удалить ни 1 программу (ошибка та же), сделал логи авз и хайджекзыса

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\felix.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

[Drug0y]

shapel, это программа-авторизатор, необходимая чтоб на том компе был инет (дурацкий провайдер birulevo.net) на их сайте можно скачать этого феликса (на главной странице прям справа), я отправлял на вирустотал - файл чист.

Добавлено через 16 минут

shapel, спасибо, что помогли очиститься от вирусов. Если ещё расскажете как восстановить функционал винды (не удаляются программы через "установку и удаление"), то буду очень рад.

[Шапельский Александр]

Посмотрите в Пуск - Выполнить - services.msc - есть ли служба Windows Installer и какой тип запуска у нее

[Drug0y]

Нда, практически весь список служб - имеет Тип запуска - блокировано, и соответственно, статус - отключено. Можно ли разом всему списку присвоить дефолтные значения для автозапуска? Если да, то - как?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\администратор\мои документы\мои рисунки\vk.rar - Trojan.BAT.Qhost.fp ( DrWEB: archive: Trojan.Hosts.52, BitDefender: Trojan.Generic.2300890 )