помогите вирус win32/wigon

[volkalex73]

здравствуйте
при включении компьютера появляется надпись win32/Wigon троянская программа,размещение c:\windows\System32\drivers\ati1vdxx.sys или ati5lsxx.sys или ati6xfxx.sys или ati0nuxx.sys, у меня стоит антивирус и файрволл NOD32
пишет что перед удалением помещает в карантин и все повтаряется
при сканировании AVZ ничего не определяет
но при включении компьютерав все повторяется
пожалуйсиа помогите
С уважением
Алексей

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winvm67');
 DeleteService('Wintb64');
 DeleteService('Wintb21');
 DeleteService('Winqy08');
 DeleteService('Winpx10');
 DeleteService('Winnw32');
 DeleteService('Winnu07');
 DeleteService('Winlu43');
 DeleteService('Winjr65');
 DeleteService('Winip86');
 DeleteService('Winio20');
 DeleteService('Wingp21');
 DeleteService('Windk31');
 DeleteService('Wincj64');
 DeleteService('Winbk08');
 DeleteService('Winai08');
 DeleteService('ati6xfxx');
 DeleteService('ati0nuxx');
 DeleteService('ati0iyxx');
 DeleteService('VAIOxmlprov');
 DeleteService('VAIOMediaPlatform-IntegratedServer-HTTPDhcp');
 DeleteService('TermServiceShellHWDetection');
 DeleteService('SENSstisvc');
 DeleteService('SamSsEapHost');
 DeleteService('RSVPEventlog');
 DeleteService('RSVPCryptSvc');
 DeleteService('RpcLocatorSpooler');
 DeleteService('NetDDEnapagent LiveUpdate Scheduler');
 DeleteService('NetDDEnapagent');
 DeleteService('lanmanworkstationwinmgmt');
 DeleteService('ImapiServiceNtLmSsp');
 DeleteService('EvtEngaspnet_state');
 DeleteService('clr_optimization_v2.0.50727_32FastUserSwitchingCompatibility');
 DeleteService('CiSvcAudioSrv');
 QuarantineFile('srv.exe','');
 TerminateProcessByName('c:\windows\system32\rs32net.exe');
 QuarantineFile('c:\windows\system32\rs32net.exe','');
 DeleteFile('c:\windows\system32\rs32net.exe');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0iyxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0nuxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winai08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbk08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincj64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windk31.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingp21.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winio20.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winip86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjr65.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlu43.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnu07.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnw32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpx10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqy08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wintb21.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wintb64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvm67.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[volkalex73]

при перезагрузке перед началом загрузки WIN XP компьютер начинает проверять на ошибки диск D потом идет загрузка WIN и вроде бы все нормально
логи высылаю через 2 минуты
В названии темы ошибся закачал карантин а не архив
Извините

[volkalex73]

при перезагрузке и включениии запускается программа checkdisk
при выполнении лога сбор информации для рубрики помогите
AVZ написала уведомление диск D диск D поврежден - запустите програму checkdisk
Это что -тоже вирус?
при обращении к диску d все нормально -диск читается
в папке был сформирован файл virusinfo cure -- его тоже высылаю на всякий случай
Огромное спасибо за помощь
Я Вам очень благодарен
С уважением
Алексей

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ati5lsxx');
 DeleteService('ati1vdxx');
 DeleteService('ati0cjxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0cjxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1vdxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati5lsxx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati5lsxx');
BC_DeleteSvc('ati1vdxx');
BC_DeleteSvc('ati0cjxx');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[volkalex73]

при перезагрузке опять запускается проверка диска D
перед загрузкой WIN XP в синем окне
такого перед вирусом никогда не было

с уважением
Алексей

[Гриша]

В логах чисто, выполните полную проверку CureIT и сообщите результат...

[volkalex73]

проверку выполнил
все в порядке
ни каких симптомов больше нет
ОГРОМНОЕ ВАМ СПАСИБО
а то куда еще обратится бедному дилетанту
СПАСИБО за Вашу работу
С уважениме
Алексей

Добавлено через 2 часа 10 минут

скажите пожалуйста
надо ли активировать востановление системы или эту функцию всегда надо держать отключенной
заранее спасибо за совет
с уважением
алексей

[Гриша]

Можете включить если оно вам так нужно

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.ahxz (DrWEB: BackDoor.Bulknet.256)