Переустановил ОС изза некого вируса! После переустановки опять почти все exe файлы заражены. откуда этот вирус лезет??

Судя по каментам оочень крепкий зловред

Win32.Sector.5
(PE_SALITY.EK, Win32.Sality.2.NX, Parser error, Packed.Win32.Krap.b, Virus:Win32/Sality.AM, W32/Sality, Generic5.ICD, Trojan.Agent.AINJ, Win32.Sality.NX, Win32.Sality.2.OE, W32/Sality.gen, Virus.Win32.Sality.2, Virus.Win32.Sality.aa, W32/Sality.Y, PE_SALITY.M, Mal_Sality, PWS-Gamania.gen.a, Win32/Tanatos.A, PE_SALITY.EN, Win32.Sality.OE, Gen:Win32.Sality.Dam, Win32.Sality.OG, Trojan.Generic.368274)

Добавлен в вирусную базу Dr.Web:2008-04-17
Описание добавлено: 2008-04-17

Тип вируса: Файловый вирус

Уязвимые ОС: Windows

Размер: 57 344 байт

Упакован: —

Техническая информация

При своём запуске переводит Internet Explorer в режим online:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\
GlobalUserOffline=0

Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\policies\system
EnableLUA=0

Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"

Для хранение своих настроек создаёт ключ в реестре:
HKEY_CURRENT_USER\Software\<имя пользователя>914

Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188

Внедряет свой код в память всех активных процессов.

Удаляет ветки реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
после этого загрузка в Безопасный режим невозможна.

Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.

Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".

В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:

"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."

защиту нормальную ставить надо было, а не ОС переставлять

форматируй хард чтоб никаких exe-шников не оставалось

"жесткий форматировал с переустановкой! " НЕТ СОВСЕМ иначе откуда эти "2000 разных файлов"

Вирус где угодно может быть.
1. У вас на в другом винто или другом разделе,
2. на флешке.
3. на диске когда что то записывали и вирус туда записался.
4. по сети.

покажи что имено у тебя.

и Установи Нормальный Антивирус.

Dr.Web CureIt! (Portable) 7.0 Beta (12.09.12) / 6.0

Ос лицензионная... или битая?? ? от туда и ...

лезет и лезет.. .
лезет и лезет.. .
)))
"некого" вируса - это явно не его название...

жесткие форматировал? полностью?