Подозрение на win32/wigon.ck

Забеспокоили меня сообщения НОД32:

09.11.2008 19:27:11 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winky47.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN56.tmp.
09.11.2008 19:05:04 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Wintq14.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN42.tmp.
09.11.2008 11:40:42 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winhe81.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN128.tmp.
08.11.2008 14:14:42 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winwm46.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN87.tmp.
07.11.2008 18:52:19 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winvb36.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\Client\LOCALS~1\Temp\BN160.tmp.

НОД вроде их удаляет... но они ведь создаються заново... Кстати, после этого сообщения (09.11.2008 19:27:11) нод меня более не беспокоил =)
Далее... Сделал всё по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL], в CureIT обнаружились ещё пару троянчиков и бэкдоров и были им удалены.

Прошу помочь... НЕ осталось ли хвостов старых троянов и этого Wigon'a...

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_m$$rv32.rar','');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
QuarantineFile('C:\WINDOWS\\VM305Capn.exe/r','');
DeleteService('Winwm46');
DeleteService('Winvb36');
DeleteService('Wintq14');
DeleteService('Winky47');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwm46.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintq14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winky47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhe81.sys','');
DeleteService('NetlogonERSvc');
DeleteService('CiSvcFastUserSwitchingCompatibility');
DeleteService('aspnet_stateEhttpSrv');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhe81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winky47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintq14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwm46.sys');
DeleteFile('C:\WINDOWS\\VM305Capn.exe/r');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\WINDOWS\system32\_m$$rv32.rar');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

логи...

В логах чисто...

файлы карантина:

Файл сохранён как 081111_125550_virus_4919d536c8de4.zip
Размер файла8130361
MD5 67608180e6b836c887b3a20a19807e70


Можно считать что всё чисто ?

Можно...

спасибо...