Вирус wigon.ck Nod32 не может удалить

[Lancelotru]

В определенное время начинается спам рассылка. При проверке Nod32 обнаруживает и вроде удаляет вирусы win32/wigon.dy, win32/wigon.dj. После перезагрузки Nod32 блокирует файл win*.sys как вирус Wigon.ck. И так до безконечности.
Проверял Drweb Cureit в "безопаске" вроде все удалил, стоит подключить инет и опять Nod32 блокирует файл win*.sys как вирус Wigon.ck.
Можно ли от него избавиться подключив жесткий диск к компьютеру на котором стоит Касперский. Я так понимаю он загружает себя из инета?

[Numb]

На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\systt32.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\systt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winxb03.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsw82.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsv14.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winru58.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winos03.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winor82.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winlp36.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winko36.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winim13.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wingj60.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winfj58.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wincg58.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wincg36.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wincf60.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winbf24.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winbe82.sys');
 DeleteFile('C:\WINDOWS\system32\systt32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\systt32.dll');
 DelWinlogonNotifyByFileName('WinCtrl32.dll');
 DeleteService('Winxb03');
 DeleteService('Winsw82');
 DeleteService('Winsv14');
 DeleteService('Winru58');
 DeleteService('Winos03');
 DeleteService('Winor82');
 DeleteService('Winlp36');
 DeleteService('Winko36');
 DeleteService('Winim13');
 DeleteService('Wingj60');
 DeleteService('Winfj58');
 DeleteService('Wincg58');
 DeleteService('Wincg36');
 DeleteService('Wincf60');
 DeleteService('Winbf24');
 DeleteService('Winbe82');
 DeleteService('WZCSVCWmiwuauserv');
 DeleteService('wuauservTrkWks');
 DeleteService('Wmiwuauserv');
 DeleteService('W32TimeEventlog');
 DeleteService('TlntSvrRDSessMgr');
 DeleteService('Themesxmlprov');
 DeleteService('stisvcClipSrv');
 DeleteService('SpoolerHidServ');
 DeleteService('ShellHWDetectionmnmsrvc');
 DeleteService('seclogonNetman');
 DeleteService('ProtectedStorageNtLmSsp');
 DeleteService('NlaCOMSysApp');
 DeleteService('NetmanSENS');
 DeleteService('NetmandmserverDhcp');
 DeleteService('NetlogonSwPrv');
 DeleteService('MSDTCNetDDE');
 DeleteService('MessengerSamSsNetlogonSwPrv');
 DeleteService('MessengerSamSs');
 DeleteService('lanmanworkstationHTTPFilter');
 DeleteService('HTTPFilterHTTPFilter');
 DeleteService('dmserverDhcp');
 DeleteService('DhcpClipSrv');
 DeleteService('DcomLaunchDhcp');
 DeleteService('ClipSrvTlntSvr');
 DeleteService('ClipSrvNetman');
 DeleteService('BITSseclogon');
 DeleteService('AppMgmtdmserver');
BC_DeleteSvc('Winxb03');
BC_DeleteSvc('Winsw82');
BC_DeleteSvc('Winsv14');
BC_DeleteSvc('Winru58');
BC_DeleteSvc('Winos03');
BC_DeleteSvc('Winor82');
BC_DeleteSvc('Winlp36');
BC_DeleteSvc('Winko36');
BC_DeleteSvc('Winim13');
BC_DeleteSvc('Wingj60');
BC_DeleteSvc('Winfj58');
BC_DeleteSvc('Wincg58');
BC_DeleteSvc('Wincg36');
BC_DeleteSvc('Wincf60');
BC_DeleteSvc('Winbf24');
BC_DeleteSvc('Winbe82');
BC_DeleteSvc('WZCSVCWmiwuauserv');
BC_DeleteSvc('wuauservTrkWks');
BC_DeleteSvc('Wmiwuauserv');
BC_DeleteSvc('W32TimeEventlog');
BC_DeleteSvc('TlntSvrRDSessMgr');
BC_DeleteSvc('Themesxmlprov');
BC_DeleteSvc('stisvcClipSrv');
BC_DeleteSvc('SpoolerHidServ');
BC_DeleteSvc('ShellHWDetectionmnmsrvc');
BC_DeleteSvc('seclogonNetman');
BC_DeleteSvc('ProtectedStorageNtLmSsp');
BC_DeleteSvc('NlaCOMSysApp');
BC_DeleteSvc('NetmanSENS');
BC_DeleteSvc('NetmandmserverDhcp');
BC_DeleteSvc('NetlogonSwPrv');
BC_DeleteSvc('MSDTCNetDDE');
BC_DeleteSvc('MessengerSamSsNetlogonSwPrv');
BC_DeleteSvc('MessengerSamSs');
BC_DeleteSvc('lanmanworkstationHTTPFilter');
BC_DeleteSvc('HTTPFilterHTTPFilter');
BC_DeleteSvc('dmserverDhcp');
BC_DeleteSvc('DhcpClipSrv');
BC_DeleteSvc('DcomLaunchDhcp');
BC_DeleteSvc('ClipSrvTlntSvr');
BC_DeleteSvc('ClipSrvNetman');
BC_DeleteSvc('BITSseclogon');
BC_DeleteSvc('AppMgmtdmserver');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28703 , как написано в прил.3 правил, и сделайте новые логи, начиная с п. 10 правил.

[Lancelotru]

Все сделал как было указано, вот логи, карантин загрузил.
У меня вопросы: Через флешку эта мерзость передается?
Ловит ли ее Касперский?

[wise-wistful]

Пофиксите в HijackThis следующую строчку ( http://virusinfo.info/showthread.php?t=4491 )

Код:

	O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Повторите логи: virusinfo_syscheck.zip и hijackthis.log

[Lancelotru]

Пофиксил. Подключил сеть, NOD32 молчит. Буду проверять.

[V_Bond]

в логах чисто ...

[Lancelotru]

Всем спасибо! Если что буду обращаться.