Wigon CK Trojan + your computer is infected

[everlast]

Здравствуйте! Проблема в следующем: NOD32 обнаруживает сабж, кроме того пропала вкладка Заставка и Рабочий стол из свойств рабочего стола, а заставкой является BSOD.

+ в дополнение к этому, в трее висит красный крестик, который пишет, что "Your computer is infected". Крестик исчезает, если завершить процесс braviax.exe. ПРи этом, если удалить файл braviax.exe, то после перезагрузки он снова появится.
+ комп через минуту-две работы в инете идет на ребут.

Буду благодарен за помощь.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('WmdmPmSNTlntSvr');
 DeleteService('W32TimeOwnershipProtocol');
 DeleteService('upnphostupnphostBrowser');
 DeleteService('upnphostupnphost');
 DeleteService('UMWdf LM Service');
 DeleteService('SpoolerShellHWDetection');
 DeleteService('RpcLocatorSamSsPlugPlay');
 DeleteService('RpcLocatorSamSs');
 DeleteService('PlugPlayNOD32krn');
 DeleteService('lanmanserverAudioSrv');
 DeleteService('Irmonhelpsvc');
 DeleteService('ImapiServicewscsvc');
 DeleteService('COMSysAppSCardSvr');
 DeleteService('Winxe38');
 DeleteService('Winwd62');
 DeleteService('Winvc84');
 DeleteService('Winek73');
 DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphc1ntj0e59r.scr','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\Winek73.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winvc84.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winwd62.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winxe38.sys');
 DeleteFile('C:\WINDOWS\system32\blphc1ntj0e59r.scr');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
 DelWinlogonNotifyByKeyName('WinCtrl32');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
 BC_DeleteSvc('WmdmPmSNTlntSvr');
 BC_DeleteSvc('W32TimeOwnershipProtocol');
 BC_DeleteSvc('upnphostupnphostBrowser');
 BC_DeleteSvc('upnphostupnphost');
 BC_DeleteSvc('UMWdf LM Service');
 BC_DeleteSvc('SpoolerShellHWDetection');
 BC_DeleteSvc('RpcLocatorSamSsPlugPlay');
 BC_DeleteSvc('RpcLocatorSamSs');
 DeleteService('PlugPlayNOD32krn');
 BC_DeleteSvc('lanmanserverAudioSrv');
 BC_DeleteSvc('Irmonhelpsvc');
 BC_DeleteSvc('ImapiServicewscsvc');
 BC_DeleteSvc('COMSysAppSCardSvr');
 BC_DeleteSvc('Winxe38');
 BC_DeleteSvc('Winwd62');
 BC_DeleteSvc('Winvc84');
 BC_DeleteSvc('Winek73');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29722

3. Повторите логи.

[everlast]

карантин загрузил, логи повторяю

[V_Bond]

пофиксите ...

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

больше ничего зловредного ....

[everlast]

Все отлично, спасибо большое.
Где-то видел, как отблагодарить можно, выслав какой-то из логов из AVZ? Вот только какой?

[Aleksandra]

Где-то видел, как отблагодарить можно, выслав какой-то из логов из AVZ? Вот только какой?

http://virusinfo.info/showthread.php?t=3519

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\braviax.exe - Hoax.Win32.Renos.vbbl (DrWEB: Trojan.Packed.612)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225)