После подключения к интернету процессор загружается до 100% процессом "бездействие системы"

[Aleksandra]

Оставим пока. Скачайте RootRepeal. Загрузитесь в безопасном режиме.

C:/WINDOWS/system32/drivers/wetkikgd.sys

В RootRepeal правой кнопкой мыши выберите Wipe File и на перезагрузку...

После сделайте лог в обычном режиме http://virusinfo.info/showthread.php?t=40120

[nadoelo]

Сделал.. выдало сообщение Invalid Path!
делать логи?

[Aleksandra]

делать логи?

Да, пока только лог RootRepeal.

[nadoelo]

никак... при попытке сканирования система зависает

[Aleksandra]

Попробуйте в безопасном режиме и еще лог Gmer повторите.

[nadoelo]

Попробуйте в безопасном режиме и еще лог Gmer повторите.

пробовал и в безопасном... виснет
вот лог Gmer

[gjf]

У Вас есть LiveCD? Попробуйте загрузиться через него, найти в системе драйвер и переместить (не скопировать!) его в другое место, например, на флешку. Если в LiveCD сможете его сразу и заархивировать - вообще отлично, потому как после загрузки НОД у Вас этот файл сразу удалит, а хотелось бы заполучить мерзавца.

[nadoelo]

У Вас есть LiveCD?

нет

[gjf]

Скачайте :
LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска желательно скачать на здоровом компьютере, записать на чистый диск, а затем загрузиться с него на заражённой машине.

[nadoelo]

Так и думал сделать... завтра постараюсь

[nadoelo]

Сделал LiveCD... переместил файл на флешку... неуверен что зархивировал.. но на флешке он имеет вид wetkikgd.sys.bz2
НОД находит его определяет как Win32/Agent.QMR троян, но не предлагает никаких действий ...
В таком виде он вам нужен? Или можно форматировать флешку?
Проблема с загрузкой процессора вроде исчезла...

[gjf]

Вот этот файл сожмите в zip-архив с паролем virus и пришлите по красной ссылке сверху (карантин).
Повторите логи AVZ.

[nadoelo]

архив закачал в карантин.. вот логи

[gjf]

Уже хорошо - главного зловреда избавились. Теперь выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После загрузки пришлите карантин.

[nadoelo]

сделано

[gjf]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys');
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip

[nadoelo]

сделано

[gjf]

Чисто!
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.

[nadoelo]

:hat:

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. \wetkikgd.sys.bz2 - Rootkit.Win32.Agent.aaba ( DrWEB: archive: Trojan.Packed.600, NOD32: Win32/Agent.QMR trojan )