Wigon.BS

Каждый раз когда я включал комп, вылазили таблички о вирусе, который находится в папке c/windows/system32/drivers
Вот пример такого сообщения

[CODE]03.04.2009 16:43:32 Real-time file system protection file C:\WINDOWS\system32\drivers\netsik.sys Win32/TrojanDownloader.Wigon.BS trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\DOCUME~1\xxxxx\LOCALS~1\Temp\RarSFX0\setup.exe.[/CODE]
(вариаций названия было штук 10)

Я нашел здесь тему с подобной проблемой, удалил скриптом все файлы которые показывались как трояны(в ноде, в лог файлах посмотрел составил список).
Потом я помониторил с помощью нодовского файрволла и увидел, что при каждом коннекте через svhost.exe есть переход по ссылке
[CODE]coqhecup . cn / kept.exe [/CODE]
И все трояны появилсь вновь.
И начала исходить какой то непонятный траф в большом объеме.
Почитал FAQ , скачал Др. Веб куреИТ
Он удалил один трой.
Повторил все выше описанные опирации, сейчаc вроде бы всё ровно, прошу посмотреть логи.Спасибо заранее.

Вот такая пачка получилась.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=43170[/url]

карантин залил, логи в процессе.
+еще такой вопрос с помощью "этого" продают траф, я правильно понял?

В карантин ничего не попало, то ли НОД съел, то ли только ссылки в реестре были.

Остался карантин, который остался из моих скриптов, до этой темы, интересует?

Да, конечно. Туда же залей.

какой максимальный объем, а то у меня архив 17мб :/

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

залил, проверьте если не то- скажите

Логи повторите...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]56[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\mirc\mirc.exe.bak - [B]not-a-virus:Client-IRC.Win32.mIRC.631[/B] ( DrWEB: Program.mIRC.623 )[/LIST][/LIST]