Проблема

Здравствуйте! Компьютер был заражен. Во-первых, в правом нижнем углу рядом со значками антивирусов и предложений автоматических обновлений загруженных программ появился значок в виде красного кружка с крестиком, который переодически выдает: "Your computer is infected! Windows has detected spyware infection!" и т.д. и требует загрузить какую-то программу. Во-вторых, Avast переодически выдает такое предупреждение: "слишком много идентичных электронных писем в определенное время" и предлагает продолжить или не отпралять. Я проверила систему все возможными антивирусами: Касперским, avast`ом, dr.Web, Ad-Aware SE Personal. Все они находили трояны, вроде удаляли их, но после перезагрузкивсе повторялось снова. Помогите, пожалуста!

Прочитайте и выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила.[/URL]

Выполните пункт 2 правил.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\Drivers\Winci84.sys
C:\WINDOWS\System32\Drivers\Winag51.sys
C:\WINDOWS\System32\Drivers\Winci73.sys
C:\WINDOWS\System32\Drivers\Winpv05.sys
C:\WINDOWS\System32\Drivers\Winta51.sys
C:\WINDOWS\system32\Drivers\Winci84.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.bak
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
DeleteService('Winta51');
DeleteService('Winpv05');
DeleteService('Winci73');
DeleteService('Winag51');
DeleteService('TapiSrvAVP');
DeleteService('srservicemnmsrvc');
DeleteService('SpoolerAppMgmt');
DeleteService('SamSsAudioSrv');
DeleteService('PolicyAgentmnmsrvc');
DeleteService('NetlogonUPS');
DeleteService('MDMHTTPFilter');
DeleteService('CryptSvcseclogon');
DeleteService('AudioSrvBITS');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winci84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winci73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag51.sys','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winci84.sys','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\Drivers\Winci84.sys');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winci84.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winta51');
BC_DeleteSvc('Winpv05');
BC_DeleteSvc('Winci73');
BC_DeleteSvc('Winag51');
BC_DeleteSvc('TapiSrvAVP');
BC_DeleteSvc('srservicemnmsrvc');
BC_DeleteSvc('SpoolerAppMgmt');
BC_DeleteSvc('SamSsAudioSrv');
BC_DeleteSvc('PolicyAgentmnmsrvc');
BC_DeleteSvc('NetlogonUPS');
BC_DeleteSvc('MDMHTTPFilter');
BC_DeleteSvc('CryptSvcseclogon');
BC_DeleteSvc('AudioSrvBITS');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи ///начиная от п.10 правил./// по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Спасибо! Скачала IceSword, попыталась найти нужные файлы и ни один не нашла! Выполнила скрип, перезагрузила компьютер, но красный кружок с крестиком на месте и убираться не хочет. Почистила компьютер и сделала логи:

1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему.
5. Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE].
6. Повторите 3 лога.

В Выполнить компьютер предлагает ввести имя прграммы, папки, документа и пр. А на ввод msconfig выдает ошибку. Я что-то не так делаю?

Наверно msconfig поврежден. Пуск/Выполнить... набрать [B]C:\WINDOWS\ServicePackFiles\i386\msconfig.exe[/B] нажать клавишу ВВОД. Если не удастся - попробуйте выключить Аваст!, потом выполните скрипт.

При вводе C:\WINDOWS\ServicePackFiles\i386\msconfig.exe выдает, что он ссылается на недоступное место. А при выполнении скрипта пишет: Ошибка: '.' expected в позиции 13:1. Все так плохо?

1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
[CODE]expand X:\i386\msconfig.ex_ C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe[/CODE]
Вместо Х подставьте букву для сидюка. Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.

Сорри, скрипт исправил.
Попробуйте запустить.
ПС: Сервер подвисает систематически - я уже пытался Вам ответить, но ответ в нирвану ушел.

[COLOR=black][FONT=Verdana]Спасибо вам большое! Дистрибутива у меня нет, но после выполнения исправленного скрипта рассылка спама с моего компа прекратилась. Но красный крестик остался и Dr.Web находил Trojan.Rntm.10, однако сегодня он не нашел вируса, а после загрузки обновленной версии Dr.Web выявил Trojan.Packed.612, удалил, перезагрузился и снова его обнаружил, но после повторного удаления и перезагрузки крестика уже не было. Еще раз: спасибо![/FONT][/COLOR]

Файл нужно заменить. Найдите на другой такой же системе и скопируйте в папку C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
Потом повторите логи.

"На другой такой же системе" имеется ввиду с другого компьютера?

[QUOTE=Polina;273662]"На другой такой же системе" имеется ввиду с другого компьютера?[/QUOTE]Да.