Вирус (подозрение на Braviax)

Знакомые попросили почистить машину так как антивирус не справляется.
На месте стало ясно что стоит НОД32, детектит C:\WINDOWS\system32\cru629.dat прописанный в APPInit_Dlls но снести никак не может. Попытки убийста руками ничего не дают даже через отложенное удаление файла - сносится но после ребута снова появляется.
Удаление ключа ничего не даёт, через секунду он снова прописывается в реестре.
В ходе дальнейшего колупания был обнаружен второй ключ с аналогичным поведением - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"="kdptr.exe"
Подобный файл в системе не найден.
Через Regmon ([url]http://technet.microsoft.com/en-us/sysinternals/bb896652.aspx[/url]) стал смотреть кто перепрописывает ключи в реестр
и был удивлён увидев что засветились в этом почти все процессы

[QUOTE]0.37803492 winlogon.exe:356 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
0.83319306 ekrn.exe:1008 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
1.08114409 lsass.exe:424 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
1.09676456 services.exe:412 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
2.09677911 spoolsv.exe:880 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
2.55000854 Opera.exe:1824 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
2.97180748 svchost.exe:1080 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
3.51868486 svchost.exe:628 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
3.94061637 mdm.exe:1428 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
4.28445292 Regmon.exe:188 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
4.87814379 svchost.exe:600 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
[/QUOTE]

Прилагаю логи AVZ и HijackThis

Логи (почему то не прикрепились сразу ;))

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kdptr.exe','');
QuarantineFile('c:\lmdwec.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\kdptr.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C4JE0Z3D\avupbzyxf[1].htm');
SysCleanAddFile('kdptr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=24202[/url] ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи.
Windows Вам нужно обновить.

После скрипта и ребута сдуру в эксплорере зашёл в папку карантина AVZ и НОД снёс cru629.dat что был на карантине :/
Карантин kdptr.exe залил по ссылке.
lmdwec.exe отсутствует на дисках и в карантине.
Проблемы пофиксил.

Обновление Винды это отдельная тема - даёт ошибку 0x80072EE7.
Пытался фиксить согласно [url]http://support.microsoft.com/?kbid=836941[/url]
Ни один из советуемых способов не помог - на компе нету файрвола кроме родного виндового, акселераторы не стоят, ни правка HOSTS ни добавление сайтов апдейта в траст зону, ни очистка записей о прокси (да и неиспользавался прокси сервер).

Новые логи.

Почему система не патченная?
Очистите ПК (см. соотв. ссылку в моей подписи)
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{960EB588-824E-46A1-B68E-70BB6A19C6E3}: NameServer = 85.255.114.78,85.255.112.120
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\lmdwec.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VT1QGMHE\rzljeqykwh[1].htm','');
QuarantineFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\4EIT91NA\Install[1].exe','');
QuarantineFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[2].exe','');
QuarantineFile('C:\Program Files\SPSS\ProductRegistration.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[2].exe');
DeleteFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VT1QGMHE\rzljeqykwh[1].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\N409TELU\dsuper[1].htm');
DeleteFile('c:\lmdwec.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки закачайте карантин по [COLOR="Red"][B]красной ссылке[/B][/COLOR] вверху темы, повторите 3 лога.

kdptr.exe - Trojan.Win32.DNSChanger.edk

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kdptr.exe - [B]Trojan.Win32.DNSChanger.edk[/B] (DrWEB: Trojan.Virtumod.based.14)[/LIST][/LIST]