Поймал Wigon.BS

Все ясно. Выполните первые 2 пункта.

[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]

Ответ [url]http://virusinfo.info/showpost.php?p=415661&postcount=1465[/url]

и то это значит?

[QUOTE=Multur;415787]и то это значит?[/QUOTE]1 файл занесен в базу безопасных.
Вы в безопасном режиме зайти можете?
Если да - попробуйте такой скрипт запустить:
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
end.[/CODE]Если сообщения об ошибке не будет - будем ждать карантин и логи после перезагрузки в нормальном режиме

этот скрипт прошел на ура :) только теперь загружается компьютер с третьего раза пока полность его не выключишь!

P/S: кстати сегодня установил после всех манипуляций опять NOD32 так как после действий от сообщения №39 первй пункт я не мог зайти к вам на сайт и на любой сайт с антивирусами!
Так Nod32 нашел еще червя ;) - win32/conficker червь

[QUOTE=Multur;415884]этот скрипт прошел на ура :) только теперь загружается компьютер с третьего раза пока полность его не выключишь!
[/QUOTE]ОК, тогда по той же схеме: скрипт - в безопасном

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
StopService('ws2_32sik');
StopService('systemntmi');
StopService('stisvcSSDPSRV');
StopService('securentm');
StopService('port135sik');
StopService('nicsk32');
StopService('netsik');
StopService('ksi32sk');
StopService('i386si');
StopService('fips32cup');
StopService('ati8qwxx');
StopService('ati7qwxx');
StopService('ati64si');
StopService('ati4flxx');
StopService('ati2flxx');
StopService('ati1kqxx');
StopService('amd64si');
StopService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
QuarantineFile('C:\WINDOWS\system\netmon.exe','');
DeleteService('ws2_32sik');
DeleteService('systemntmi');
DeleteService('stisvcSSDPSRV');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('fips32cup');
DeleteService('ati8qwxx');
DeleteService('ati64si');
DeleteService('ati4flxx');
DeleteService('ati2flxx');
DeleteService('ati1kqxx');
DeleteService('amd64si');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\activedso.exe');
DeleteFile('C:\WINDOWS\system\netmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
end.
[/CODE]

перегружаемся или выключаем ПК и логи - в нормальном режиме

скрипт прошол :)

[QUOTE=Multur;416032]скрипт прошол :)[/QUOTE]
Но к сожалению не дал результата, как первый.

1. Качаем [URL="http://files.avast.com/files/beta/aswar.exe"]avast! antirootkit tool[/URL]
2. Запускаем, производим сканирование
3. После проверки выбираем "Fix now" и rebooting...
4. Повторяем логи и прикрепляем лог aswar.

Если возникнут какие-нибудь проблемы, то пробуем сделать сканирование в безопасном режиме.

сканирование не получилось и в безопасном режиме.
начал ругаться :)

Попробуйте такой скрипт:

[CODE]begin
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('ati7qwxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati4flxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati1kqxx');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_Activate;
RebootWindows(true);
end.[/CODE]Если пройдет, то повторите лог [B]virusinfo_syscheck.[/B]

А потом еще так:
1. Скачать архив: [url]http://freenet-homepage.de/rene-gad/123.zip[/url]
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку [B]Scan for Rootkits[/B]
6. Скопировать скрипт в окно:
[CODE]files to delete:
C:\WINDOWS\system32\drivers\ws2_32sik.sys
C:\WINDOWS\system32\drivers\systemntmi.sys
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\port135sik.sys
C:\WINDOWS\system32\drivers\nicsk32.sys
C:\WINDOWS\system32\drivers\netsik.sys
C:\WINDOWS\system32\drivers\ksi32sk.sys
C:\WINDOWS\system32\drivers\i386si.sys
C:\WINDOWS\system32\drivers\fips32cup.sys
C:\WINDOWS\System32\Drivers\ati8qwxx.sys
C:\WINDOWS\System32\Drivers\ati7qwxx.sys
C:\WINDOWS\system32\drivers\ati64si.sys
C:\WINDOWS\System32\Drivers\ati4flxx.sys
C:\WINDOWS\System32\Drivers\ati2flxx.sys
C:\WINDOWS\System32\Drivers\ati1kqxx.sys
C:\WINDOWS\system32\drivers\acpi32.sys
C:\WINDOWS\system32\activedso.exe
C:\WINDOWS\system\netmon.exe
[/CODE]
7. Закрыть все окна кроме Avenger
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.

[QUOTE=Aleksandra;416213]Попробуйте такой скрипт:
...Если пройдет, то повторите лог [B]virusinfo_syscheck.[/B][/QUOTE]

скрипт прошел :)

[QUOTE=Multur;416434]скрипт прошел :)[/QUOTE]
Да только в логе все по-прежнему.
Выполняйте совет [B]Rene-gad[/B]'a.

этот скрипт тоже прошел

[QUOTE=Multur;416441]этот скрипт тоже прошел[/QUOTE]Вы Avenger в безопасном режиме запускали?

нет

Как у Вас обстоят дела с трафиком?

получено 2 000 000 байт
отправлено 800 000 байт
открыто только это окно!

Я сейчас не про это. :) У меня осталось пару идей. Если есть возможность, то скачайте сканер VBA32. Ссылка у меня в подписи. Если да, то напишу что делать дальше.

скачиваю

Теперь:

1. Отключите восстановление системы и антивирус.
2. Распакуйте сканер на рабочий стол (должна появится папка Vba32Check).
3. Пуск - Выполнить, набрать [I]cmd[/I], нажать ВВОД
4. Перейдите в нужную папку (можете скопировать строку):
[CODE]cd %userprofile%\desktop\vba32check\vba32w[/CODE]
5. Скопируйте [CODE]vba32w /mr=2/as=2/bt-/af/rw/sfx/ar/ha=2/fc/fd/ic/nc/r="c:\vba32.rpt"/qi+"c:\ainfected"/qs+"c:\asuspected" *:[/CODE]
и нажмите Enter.
6. По окончанию проверки приложите файл c:\vba32.rpt к этой теме.