Win32/Wigon.LV

Здравствуйте.

На компьютере установлен и постоянно обновляется антивирус NOD32.
Антивирус уже третий день ругается на вирус в файле %WINDOWS%/system32/drivers/ntfs.sys .
Естественно, ничего сделать не может. Чем больше времени проходит, тем больше ругани появляется на разные файлы.
При запуске проверки памяти компьютера программой CureIt от DrWeb система выпадает в синий экран. На синем экране постоянно фигурирует разный файл, имя которого явно сгенерировано рандомно.

Помогите, пожалуйста, вылечиться. :)

P.S. virusinfo_cure.zip пуст.

Диск с дистрибутивом имеется?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\wpv981249321620.exe','');
DeleteFile('C:\WINDOWS\Temp\wpv981249321620.exe');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Проблема осталась.
ntfs.sys, figaro.sys, braviax.exe всплывают в уведомлениях NOD32.

Карантин где?

Файл [COLOR="Red"]C:\WINDOWS\system32\Drivers\Ntfs.sys[/COLOR] нужно заменить на чистый из дистрибутива:
- Загрузитесь в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10"]консоли восстановления[/URL]
-На приглашение введите строку:
[CODE]expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys[/CODE]
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.
-Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
-Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

Пока это не сделать, лечиться дальше бесполезно. Именно этот файл загружает Вам старину Braviax'a
В этих логах figaro.sys, braviax.exe не видны пока

Спасибо. KNOPPIX помог.
Уже CureIt вышел на тропу войны и никто не осмеливается при этом крэшнуть систему.
После работы CureIt перезагрузиться и снова запустить на выполнение скрипт в AVZ ?

Нет, сделать новый комплект логов

Готово.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи по п. 2 и 3 диагностики

А вот нету C:\WINDOWS\system32\regedit.exe .
Не знаю на каком этапе он пропал.
При этом в реестре, в автозагрузке, где его находил Hijackthis, его тоже нет, зато был параметр braviax с пустым значением.
Есть:
C:\WINDOWS\system32\regedt32.exe (3584 bytes)
C:\WINDOWS\regedit.exe (148992 bytes)
Вроде как размер соответствует оригиналу.

Вот новый лог от Hijackthis:

[QUOTE='Yarik;445928']C:\WINDOWS\system32\regedt32.exe (3584 bytes)
C:\WINDOWS\regedit.exe (148992 bytes)[/QUOTE]Это нормальные системные файлы

По предоставленному логу ничего плохого

Огромное спасибо за помощь! :clapping: