[admin]

При старте винды выскакивает у нода вот такой троян.
читстил темпы, чистил нодом, чистил лавасофт адваре... не помогло...

также возникает иногда процес svhost в процесах и жрет дофигища памяти

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

15.08.2008 12:18:04 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winnu75.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\TEMP\BN18.tmp.
14.08.2008 10:12:40 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winkt76.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\System32\svchost.exe.
14.08.2008 9:36:53 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winow07.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\SHRAME~1\LOCALS~1\Temp\BN7.tmp.
14.08.2008 9:36:53 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winue33.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN4.tmp.
11.08.2008 9:10:09 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Wintd21.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN4.tmp.
11.08.2008 9:10:09 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winuk28.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\SHRAME~1\LOCALS~1\Temp\BN7.tmp.
06.08.2008 13:20:21 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winks86.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN4.tmp.
06.08.2008 13:20:21 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winjs88.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\SHRAME~1\LOCALS~1\Temp\BN7.tmp.
05.08.2008 12:11:26 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winmt42.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN4.tmp.
05.08.2008 12:11:26 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winpx18.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\SHRAME~1\LOCALS~1\Temp\BN9.tmp.
05.08.2008 11:21:22 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\drivers\Winjq42.sys Win32/Wigon.CK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\SHRAME~1\LOCALS~1\Temp\BN2E4E.tmp.

метод лечения найден и опробован. помог на все 100%
хочу заметить так как в досе 8 символов всего отображаеться файлик называеться winctrl~1.dll

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Я не уверен, что это тот вирус, что у тебя: "мой" вирус не создает ссылок на порнуху, а просто рассылает спам. Но в двух словах: вирус сохраняет себя в двух файлах \windows\system32\winctrl32.dll и \windows\system32\winctrl32.dl_. Эта dll прописывает себя в реестре в ветке \\что-то там в начале\winlogon\notify и таким образом загружается при загрузке операционки. Это основной код трояна, который создает экземпляры вредоносного кода в виде драйверов \windows\system32\drivers\winxxNN.sys (где xx - это произвольные две буквы, а NN - это произвольные две цифры). Также создается exe-шник в Temp директории, и этот ехе-шник прописывается в реестр \\HKLM\software\microsoft\windows\currentversion\run и запускается после логина, проверяя, никто ли его не вычислил, и при необходимости заражает снова.

Метод лечения:

1. Находим в реестре последний упомянутый мной ехе-шник, смотрим как он называется.
2. Запускаем Process Explorer и убиваем процесс ехе-шника (если он активен). Также убиваем два процесса svchost, которые являются дочерними winlogon (перед этим можно убедиться, что это именно эти процессы: Process Explorer показывает их TCP/IP активность, там будет куча соединений по smtp). Теперь вирус не активен.
3. Убиваем ехе-шник и все файлы winxxNN.sys, а также winctrl32.dl_. winctrl32.dll убить не даст, т.к. его захватывает активный процесс winlogon. Поэтому...
4. Переименовываем файл winctrl32.dll в любое другое имя.
5. Вычищаем реестр от всех вхождений winxxNN.sys и winctrl32.
6. Перегружаем комп.
7. Удаляем тот файл, в который мы переименовали winctrl32.dll.