Поймал Wigon.BS

[Aleksandra]

Все ясно. Выполните первые 2 пункта.

Добавлено через 46 минут

Ответ http://virusinfo.info/showpost.php?p...postcount=1465

[Multur]

и то это значит?

[Rene-gad]

и то это значит?

1 файл занесен в базу безопасных.
Вы в безопасном режиме зайти можете?
Если да - попробуйте такой скрипт запустить:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
 QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
 DeleteFile('C:\WINDOWS\System32\rs32net.exe');
end.

Если сообщения об ошибке не будет - будем ждать карантин и логи после перезагрузки в нормальном режиме

[Multur]

этот скрипт прошел на ура только теперь загружается компьютер с третьего раза пока полность его не выключишь!

P/S: кстати сегодня установил после всех манипуляций опять NOD32 так как после действий от сообщения №39 первй пункт я не мог зайти к вам на сайт и на любой сайт с антивирусами!
Так Nod32 нашел еще червя - win32/conficker червь

[Rene-gad]

этот скрипт прошел на ура только теперь загружается компьютер с третьего раза пока полность его не выключишь!

ОК, тогда по той же схеме: скрипт - в безопасном

- Выполните скрипт

Код:

begin
 StopService('ws2_32sik');
 StopService('systemntmi');
 StopService('stisvcSSDPSRV');
 StopService('securentm');
 StopService('port135sik');
 StopService('nicsk32');
 StopService('netsik');
 StopService('ksi32sk');
 StopService('i386si');
 StopService('fips32cup');
 StopService('ati8qwxx');
 StopService('ati7qwxx');
 StopService('ati64si');
 StopService('ati4flxx');
 StopService('ati2flxx');
 StopService('ati1kqxx');
 StopService('amd64si');
 StopService('acpi32');
 QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
 QuarantineFile('C:\WINDOWS\system32\activedso.exe','');
 QuarantineFile('C:\WINDOWS\system\netmon.exe','');
 DeleteService('ws2_32sik');
 DeleteService('systemntmi');
 DeleteService('stisvcSSDPSRV');
 DeleteService('securentm');
 DeleteService('port135sik');
 DeleteService('nicsk32');
 DeleteService('netsik');
 DeleteService('ksi32sk');
 DeleteService('i386si');
 DeleteService('fips32cup');
 DeleteService('ati8qwxx');
 DeleteService('ati64si');
 DeleteService('ati4flxx');
 DeleteService('ati2flxx');
 DeleteService('ati1kqxx');
 DeleteService('amd64si');
 DeleteService('acpi32');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 DeleteFile('C:\WINDOWS\system32\activedso.exe');
 DeleteFile('C:\WINDOWS\system\netmon.exe');
 DeleteFile('C:\Documents and Settings\LocalService\.exe');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
end.

перегружаемся или выключаем ПК и логи - в нормальном режиме

[Multur]

скрипт прошол

[Aleksandra]

скрипт прошол

Но к сожалению не дал результата, как первый.

1. Качаем avast! antirootkit tool
2. Запускаем, производим сканирование
3. После проверки выбираем "Fix now" и rebooting...
4. Повторяем логи и прикрепляем лог aswar.

Если возникнут какие-нибудь проблемы, то пробуем сделать сканирование в безопасном режиме.

[Multur]

сканирование не получилось и в безопасном режиме.
начал ругаться

[Aleksandra]

Попробуйте такой скрипт:

Код:

begin
 BC_DeleteSvc('ws2_32sik');
 BC_DeleteSvc('systemntmi');
 BC_DeleteSvc('securentm');
 BC_DeleteSvc('port135sik');
 BC_DeleteSvc('nicsk32');
 BC_DeleteSvc('netsik');
 BC_DeleteSvc('i386si');
 BC_DeleteSvc('fips32cup');
 BC_DeleteSvc('ati8qwxx');
 BC_DeleteSvc('ati7qwxx');
 BC_DeleteSvc('ati64si');
 BC_DeleteSvc('ati4flxx');
 BC_DeleteSvc('ati2flxx');
 BC_DeleteSvc('ati1kqxx');
 BC_DeleteSvc('amd64si');
 BC_DeleteSvc('acpi32');
 BC_Activate;
 RebootWindows(true);
end.

Если пройдет, то повторите лог virusinfo_syscheck.

[Rene-gad]

А потом еще так:
1. Скачать архив: http://freenet-homepage.de/rene-gad/123.zip
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку Scan for Rootkits
6. Скопировать скрипт в окно:

Код:

files to delete: 
C:\WINDOWS\system32\drivers\ws2_32sik.sys
C:\WINDOWS\system32\drivers\systemntmi.sys
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\port135sik.sys
C:\WINDOWS\system32\drivers\nicsk32.sys
C:\WINDOWS\system32\drivers\netsik.sys
C:\WINDOWS\system32\drivers\ksi32sk.sys
C:\WINDOWS\system32\drivers\i386si.sys
C:\WINDOWS\system32\drivers\fips32cup.sys
C:\WINDOWS\System32\Drivers\ati8qwxx.sys
C:\WINDOWS\System32\Drivers\ati7qwxx.sys
C:\WINDOWS\system32\drivers\ati64si.sys
C:\WINDOWS\System32\Drivers\ati4flxx.sys
C:\WINDOWS\System32\Drivers\ati2flxx.sys
C:\WINDOWS\System32\Drivers\ati1kqxx.sys
C:\WINDOWS\system32\drivers\acpi32.sys
C:\WINDOWS\system32\activedso.exe
C:\WINDOWS\system\netmon.exe

7. Закрыть все окна кроме Avenger
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.

[Multur]

Попробуйте такой скрипт:
...Если пройдет, то повторите лог virusinfo_syscheck.

скрипт прошел

[Bratez]

скрипт прошел

Да только в логе все по-прежнему.
Выполняйте совет Rene-gad'a.

[Multur]

этот скрипт тоже прошел

[Rene-gad]

этот скрипт тоже прошел

Вы Avenger в безопасном режиме запускали?

[Multur]

нет

[Aleksandra]

Как у Вас обстоят дела с трафиком?

[Multur]

получено 2 000 000 байт
отправлено 800 000 байт
открыто только это окно!

[Aleksandra]

Я сейчас не про это. У меня осталось пару идей. Если есть возможность, то скачайте сканер VBA32. Ссылка у меня в подписи. Если да, то напишу что делать дальше.

[Multur]

скачиваю

[Aleksandra]

Теперь:

1. Отключите восстановление системы и антивирус.
2. Распакуйте сканер на рабочий стол (должна появится папка Vba32Check).
3. Пуск - Выполнить, набрать cmd, нажать ВВОД
4. Перейдите в нужную папку (можете скопировать строку):

Код:

cd %userprofile%\desktop\vba32check\vba32w

5. Скопируйте

Код:

vba32w /mr=2/as=2/bt-/af/rw/sfx/ar/ha=2/fc/fd/ic/nc/r="c:\vba32.rpt"/qi+"c:\ainfected"/qs+"c:\asuspected" *:

и нажмите Enter.
6. По окончанию проверки приложите файл c:\vba32.rpt к этой теме.