Win32.Wigon

Помогите разобрацца с вирусом, НОД32 определяет его как Win32.Wigon, если я ничего не перепутал конечно. Я так понимаю что он создаёт файл lanmanwrk.exe и lanmandrv.sys...вот только удаление этих файлов ни к чему не приводит. Компьютер постоянно куда-то что-то отправляет(за 2 часа 600 мегабайт отправил куда-то %)). Кстати, НОД32 ещё находит Win32.Virtumonde и тоже ничего с ним поделать не может, но это насколько я понимаю адваре, ставит куки на минимум и активХ ставит постоянно.

Был бы очень признателен за помощь.

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {9E5C84B5-2589-429C-9E95-6EB051B80950} - (no file)
O2 - BHO: (no name) - {CF55DD2E-1E2C-44F7-8514-A94864AC2990} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINDOWS\System32\lanmanwrk.exe clean
O20 - Winlogon Notify: byXQIYRj - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\Winpu16.sys','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');
DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winpu16.sys');
BC_ImportALL;
BC_DeleteSvc('Winye27');
BC_DeleteSvc('Winxd84');
BC_DeleteSvc('Winxd38');
BC_DeleteSvc('Winwd75');
BC_DeleteSvc('Winwc84');
BC_DeleteSvc('Winvd16');
BC_DeleteSvc('Winvb84');
BC_DeleteSvc('Winrw62');
BC_DeleteSvc('Winms84');
BC_DeleteSvc('Winmr51');
BC_DeleteSvc('Wingl38');
BC_DeleteSvc('Windi73');
BC_DeleteSvc('Winpu16');
BC_DeleteSvc('lanmandrv');
BC_DeleteSvc('wuauservWZCSVC');
BC_DeleteSvc('SSDPSRVClipSrv');
BC_DeleteSvc('NtLmSspSENS');
BC_DeleteSvc('NlaNetlogon');
BC_DeleteSvc('MessengerPlugPlay');
BC_DeleteSvc('ERSvcNetDDEdsdm');
BC_DeleteSvc('DcomLaunchTermService');
BC_DeleteSvc('CiSvcNtLmSsp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24886[/url]).
Сделайте новые логи.

Вроде всё сделал

Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]

Скачайте Ice Sword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url], распакуйте, запустите, нажмите слева внизу File, найдите файл
[b]C:\WINDOWS\system32\Drivers\Winpu16.sys[/b]
нажмите его правой кнопкой и выберите Force Delete.

Сразу после этого выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\Winpu16.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winpu16.sys');
BC_DeleteSvc('Winpu16');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

После перезагрузки повторите логи, начиная с п.10 правил.

Всё сделал, логи прилагаю

Отлично. Теперь все чисто.

Вроде сам почитал логи, похоже что всё тип-топ(ну эт моё имхо, может чего недоглядел) :) Жду мнения профессионалов :)
Спасибо! :)

ТОлько что увидел ваше сообщение, спасибо большое!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\lanmandrv.sys - [B]Trojan.Win32.Agent.kcr[/B] (DrWEB: Trojan.NtRootKit.1245)[*] c:\\windows\\system32\\lanmanwrk.exe - [B]Trojan.Win32.Crypt.dn[/B] (DrWEB: Trojan.LanMan.33)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ahp[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]