Wigon.AG

NOD32 AMON сообщение о тревоге
файл:
C:\WINDOWS\TEMP\125406.exe
вирус:
Wigon.AG
комментарий:
событие в новом файле, созданном приложением C:\WINDOWS\system32\svchost.exe
каждый раз ловит и изолирует, но первоисточник то где, буду признателен за помощь в борьбе с этой заразой, инструкцию выполнил, логи прилагаются

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vbf38.sys','');
QuarantineFile('C:\WINDOWS\system32\guard32.dll','');
BC_ImportALL;
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Поищите в AVZ - Сервис - Поиск файлов на диске файл [b]svchost.exe[/b], если найдется где-то кроме папки C:\WINDOWS\system32 - добавьте в карантин.

Пришлите весь карантин согласно приложению 3 правил.

файл svchost.exe присутствует еще в 3-х местах:
C:\WINDOWS\Prefetch\SVCHOST.EXE размер 0 дата созд 19,08,2007 14,03,31 мод 19,08,2007 14,04,14
C:\WINDOWS\ServicePackFiles\i386\svchost.exe разм 14336 созд 31,10,2005 11,49,06 мод 04,08,2004 11,56,58
C:\WINDOWS\system32\dllcache\svchost.exe разм 14336 созд 23,08,2001 15,00,00 мод 18,08,2007 16,48,43
долго бодался, но avz отказался копировать их в карантин без объяснения причин и вообще какой либо реакции потому выслал только то, что было в карантине

Это системные файлы и AVZ опознал их как безопасные, потому в карантин не попали

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Vbf38.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Vbf38.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то попадет в карантин - пришлите по правилам.
Сделайте новые логи.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]