Win32/Wigon.CK троян

Подхватил вирус зайдя по глупости IE (6.0.2900) на сайт: :http:www.anfo.ru/~gai/ (ОСТОРОЖНО! он все еще там)

Теперь симптомы следующие: После загрузки, вылетает сообщение об ошибке в службе service.exe (после последней перезагрузки, когда я пропустил скрипты для темы Помогите в AVZ, такое окошко не появилось). Дальше, если сеть есть, то NOD32 ловит 2 попытки создания файлов Win32/Wigon.CK троян, выглядит это так:

В файле ....../System32/WinCrt32.dl_ обнаружен троян Win32/Wigon.CK троян. Файл был создан приложением c:\windows\Temp\BN9.tmp

В файле ....../System32/drivers/Winjn16.sys обнаружен троян Win32/Wigon.CK троян. Файл был создан приложением c:\windows\Temp\BN9.tmp

Помимо это есть еще симптомы: постоянный приличный трафик и невозможность открытия программы - Панель Управления\Администрирование\Службы - окно не успевает появится, как сразу же закрывается.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyd14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxb25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winux25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winua71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqu47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmq68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo82.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\beeper.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmq68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnr72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqu47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winux25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxb25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyd14.sys');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;
BC_DeleteSvc('Winyd14');
BC_DeleteSvc('Winxb25');
BC_DeleteSvc('Winux25');
BC_DeleteSvc('Winua71');
BC_DeleteSvc('Winqu47');
BC_DeleteSvc('Winnr72');
BC_DeleteSvc('Winmq68');
BC_DeleteSvc('Winjo82');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25215[/url]).
Сделайте новые логи, начиная с п.10 правил.

Спасибо за помощь!
Карантин выслал. Новые логи прикладываю:

В карантине beeper.sys - [b]Trojan.Win32.Pakes.dfh[/b]

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
BC_DeleteSvc('Winsw25');
BC_DeleteSvc('Winjn16');
BC_DeleteSvc('Beep');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, [u]начиная с п.10 правил[/u].

Сделал. Логи прикладываю. Отрицательных симптомов не наблюдаю.

Логи чистые.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\beeper.sys - [B]Trojan.Win32.Pakes.dfh[/B] (DrWEB: Trojan.NtRootKit.1296)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.akt[/B] (DrWEB: Trojan.Rntm.7)[/LIST][/LIST]