services.exe reader_s.exe user.exe + повышеная сетевая активность

[cmos]

Неизвесный вирус в файлах, остался даже после переустановки системы. Возможно прописывает себя в исполнительные файлы, так как антивирус NOD32 и AVZ ругается не CRC.
Появляюся файлы:

services.exe
reader_s.exe -trojan.download.29459 (CureIT)
/sestem32/drivers/amd64si.sys -trojan.download.29459 (CureIT)
/sestem32/drivers/ndis.sys - trojan.ntrootkit.2670
user.exe


+Постояная сетевая активность.

[Rene-gad]

Неизвесный вирус в файлах, остался даже после переустановки системы. .

Так не бывает. Если Вы удалили системный раздел, установили систему + последний Сервис Пак до соединения с сетью, то никакой вирус остаться не мог.
Если системный диск у Вас левый, то запросто возможно.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\spoolsvc.exe');
 TerminateProcessByName('c:\documents and settings\dima\dima.exe');
 TerminateProcessByName('c:\documents and settings\dima\reader_s.exe');
 TerminateProcessByName('c:\windows\system32\reader_s.exe');
 StopService('amd64si');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
 QuarantineFile('c:\windows\system32\spoolsvc.exe','');
 QuarantineFile('c:\documents and settings\dima\dima.exe','');
 QuarantineFile('c:\documents and settings\dima\reader_s.exe','');
 QuarantineFile('c:\windows\system32\reader_s.exe','');
 DeleteFile('c:\documents and settings\dima\dima.exe');
 DeleteFile('c:\windows\system32\spoolsvc.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 DeleteService('amd64si');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('amd64si');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[cmos]

заразился естественно из сети или при устаноке софта.

после повторной проверки файл virusinfo_syscheck.zip остался прежним

[light59]

virusinfo_cure.zip из темы убрать.
При установке какого софта вы заразились?

[cmos]

virusinfo_cure.zip из темы убрать.
При установке какого софта вы заразились?

virusinfo_cure.zip - удалил

Хотелось бы знать:
установил с винта:
софт для налоговой отчетности,
demontools
qip
AutoIt
eset smart

с компакт Диска:
finereader
download master
restorator
r-admin
mikroangelo

из сети:
Офис и драйвера

Стандартный набор программ, который устанавливаю почи каждый день.
после перезагруски получил зараженные файлы

Kaspersky Viru Removal Tool нашел вирус Virus.Win32.Virut.ce
во всех .exe и .scr файлах

[light59]

Пролечитесь, как написано тут http://virusinfo.info/showthread.php?t=15927.
И логи повторите.

[cmos]

DrWeb CureIT не находит вирусов вообше
Nod32 - тоже
Kaspersky Viru Removal Tool нашел вирус Virus.Win32.Virut.ce
во всех .exe и .scr файлах всего 2525 штук

После этого перестал нормально запускатся explorer.exe.
Вирус достал до ручки, нужно работать, буду систему снова переустанавливать.

Благодарю за помощь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения вредоносные программы в карантинах не обнаружены