Запустил один файлик, возможно вирус, но в начальный момент так ничего и не произошло. Через 5 мин. компьютер ушел в перегруз. Касперский не запустился. Удалить, переустановить не удалось. Kaspersky Virus Removal Tool, AVZ и HijackThis не запускаются, если кликнуть по ссылке с именем «HijackThis» выгружается Iexplorer. Запустился только CureIt, но он ничего не нашел. Save Mode запускается и уходит в перегруз. Восстановление записей в реестре, касающихся Save Mode, не помогли. Прошу вашей помощи.

Сделайте логи с помощью полиморфного AVZ (ссылка в моей подписи)

Не запускается.

Kostyas, Сделайте вот такие логи.

• Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

• Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

• Скачайте SDFix, загрузитесь в безопасном режиме
Save Mode заблокирован.
• Скачайте Malwarebytes Anti-Malware
Ссылка блокируется.
Создал отчет RSIT за 3 месяца.
Вы будите смеяться, но кнопка Вложить файлы на форуме исчезла.

Kostyas, выкладывайте на файлообменник www.webfile.ru

Зашел с другой системы. Запустил скан с помощью Kaspersky Virus Removal Tool. На данный момент уже около 50 найденных объектов. Извиняюсь, что не выполнил правила форума по удалению точек восстановления системы. Если, конечно, это было возможным.

После сканирования загрузился в зараженную систему, и вся удаленная гадость вернулась на свои места. Хоть систему переустанавливай.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

Все дальнейшие дествия выполняйте в зараженной системе
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ну, хоть что-то запустилось.

Ну, хоть что-то запустилось. »Это проделки Bagle

c:\windows\system32\msgsvc.dll проверьте на на virustotal (http://www.virustotal.com/ru) Ссылку на результат проверки сообщите

Пробуйте делать логи AVZ и HiJack

http://www.virustotal.com/ru/analisis/e6af051174531c24b38e73987755d366abec595476c6d17793e8dccc73f55340-1272103887

Утилиты начали работать.

Kostyas, выполните

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\temp\mbr.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Думаю отправлять особо нечего. Строка из bcqr00001.ini:

[InfectedFile]
Src=\??\c:\temp\mbr.sys
Infected=bcqr00001.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034

Kostyas, Карантин сформировался? Отправляйте. Разберутся. :)

Так он пустой. Только 2 ini файла с похожим содержанием.

Kostyas, Тогда. Проблемы какие остались? :)

Вся система побита. Касперский, Ad-Aware ни удаляются, ни переустанавливаются. Ветки реестра закрыты для редактирования. Вирус был удален с помощью KAV Tool из под другой системы, плюс ComboFix.
Вот только система не пригодна к использованию. Я вот задаюсь вопросом: А не проще- ли было сразу переустановить систему? За тоже время, что я ловил вирус, я мог это сделать трижды.
Хотя, получил какие-то знания в этом вопросе. Буду сносить систему.
Всем большое спасибо.