Не можно зайти на сайты популярных антивирусных программ таких как drweb.com, kaspersky.ru и т.д. А также когда устанавливаю некоторые антивирусы, то они не устанавливаются, а если и устанавливаются, то по-просту не запускаются. И еще в процессах видны подозрительные процессы которы запускаются с папки C:\WINDOWS\Temp. после удаления этих файлов в папке temp они через некоторое время опять создаются но с новыми именами такими как winlfas.exe windds.exe winsock.exe toofd.exe и т.д. Эти процесы запускаются от разных родительских процессов, например explorer.exe , anvir.exe, SynTPEnh.exe и т.д;

в системе активный фвйловый вирус, в вашем случае Sality
Как лечить систему от файлового вируса? (http://forum.oszone.net/post-1867330-10.html)

сканируете и лечите систему при помощи LiveCD, записанного на заведомо здоровой системе, до тех пор пока не будут находиться зараженные файлы

затем, скачиваете заново AVZ, обновляете базы и выкладываете логи заново

ок, только компьютор надо будет у кого нибудь попросить

LiveUSB установил на флэшку, linux загрузился все программы работают кроме Dr.Web Control center , просто окно на 1 секунду открывается и сразу закрывается, через командер не видит диск С или вернее пишет что он пуст

Пробуйте другие LiveCD

Итак!Так как мне не удалось запустить сканер в dr.Web LiveCD, то я запустил утилитку SaliгоtyKiller.exe от касперского в Alkid LiveCD, после тчательного сканирования отправляю вам все логи в том числе и логи программы SalityKiller.exe в файле WinPE_log.txt

повторяюсь

Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

выполняйте

Все

так что делать судя по этим логам??

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Windows\Temp\winnuxb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\bktvye.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\soxo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\wineidig.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winjttjw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\dtpilr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Windows\Temp\winjdhdos.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winiisej.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\fceir.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\rpid.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\bvqoj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\fdeyy.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Windows\Temp\mllk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winyfwpv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\cprbl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\qdxu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\tedvq.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\npiure.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Windows\Temp\winucaqx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\hbmwy.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winnnli.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\windbbri.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\rkvdi.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winuldgm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winjfsufc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winlarymx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\quyh.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winiawgfv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\ewig.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\xxthuk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\adke.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\caygla.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winrqdj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winhjxybm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\nlydb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winofbw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winosoyh.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\lttmu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\euxwn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winlhugu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\uhwha.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winyqmb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\qkpksw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\mhdll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\tuqchj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winhcrg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\windija.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winbykap.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winuwqskd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\kcdsgo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winmsnody.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\ylpaka.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\wingjgnx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winopke.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winmvdpbw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\nkkb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winogijja.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winwxjkm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\wincrco.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firew allPolicy\StandardProfile\AuthorizedApplications\List','C:\Windows\Temp\winxhacoe.exe');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\SharedAccess', 'Start', 2);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('amsint32');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(10);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
______________________________________

пока сканирую 1 компьютер программой Malwarebytes, провел проверку и очистку на другом моём зараженном компьютере, вот присылаю вам логи

тот же салити, правда неактивный уже.. лечились салитикиллером?

у нас правило: новый пк-новая тема. Если вас не затруднит, создайте для этого компа новую тему с логами, иначе каша будет, тем более, что заражение идентичное

Да лечил салитикилером. можете отправить мне скрипт для 2 компа на лс??

во-первых, в лс мы не лечим!
во-вторых, скрипт мною уже составлен, осталось дело за вами, создать новую тему и добавить уже собранные вами логи-дело одной минуты
в-третьих, скорее всего понадобится корректировочное лечение, я же ваше лечение вести буду и запрашивать повторные логи стану не для забавы ради, а для проверки качества лечения и чистоты системы

ок, сейчас создам

итак, вот результаты

Скачайте архив с утилитой Registry Search (http://download.bleepingcomputer.com/steelwerx/regsearch.zip) и распакуйте его в отдельную папку на рабочем столе. Запустите утилиту. В верхнем окне, предназначенном для поиска введите:
C:\WINDOWS\C:\WINDOWS\system32\svchost.exe Нажмите кнопку "OK". В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

Скопируйте следующий текст в Блокнот и сохраните файл под именем Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса."
"DisplayName"="Брандмауэр Windows/Общий доступ к Интернету (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000000
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpda te]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Дважды щелкните файл Sharedaccess.reg для внесения его содержимого в реестр и создания записи брандмауэра Windows.
Перезагрузите Windows.
Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
В командной строке введите следующую команду и нажмите клавишу ВВОД:
Netsh firewall reset


Повторите сканирование в MBAM и удалите:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Действие не было предпринято.

Все!! спасибо большое

А это где? Быстро вы лечения заканчиваете.

Скачайте архив с утилитой Registry Search и распакуйте его в отдельную папку на рабочем столе »

всмысле где?? в реестре!!