Trojan Pandex + Virantix.C

Всё было так. Лазию в инете, вдруг после перехода на какую-то страницу у меня закрывается всё, вылетает ошибка системы и перезагружется компьютер. По началу дня 2-3 после включения\загрузки Symantec писал о наличии Pandex с просьбой перезагрузки. Дня через 2 я потерял возможность включать компьютер вообще, после загрузки вылетали критические ошибки и сразу-же ребут. Дня 2 назад в списке вирусов появился и Virantix.C . Сканированеи не даёт результатов. Надеюсь на вашу помощ.

(Ещё один не приятный момент, хотя не очень важный, в трее появился кружок красный перечёркнутый, который выводится сразу после загрузки с текстом о Yor computer is infected! Как убрать это штуку.)

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windi51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winin15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winkp48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winot05.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winot37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winot73.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winqv26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv83.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winty61.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxd61.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva186.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Temporary Internet Files\Content.IE5\MRF0ENBJ\Install[1].exe','');
QuarantineFile('C:\Program Files\WinAntispyware2008\Uninstall.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteService('Adobeusprserv');
DeleteService('AWHelpServerccSetMgrImapiService');
DeleteService('AWHelpServerNetTcpPortSharing');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
DeleteService('dmserverdmserver');
DeleteService('dmserverSysmonLog');
DeleteService('IDriverTCCALib8');
DeleteService('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
DeleteService('LiveUpdatehelpsvc');
DeleteService('MicrosoftMSIServer');
DeleteService('mnmsrvcCryptSvc');
DeleteService('mnmsrvcMSIServer');
DeleteService('NetmanNtmsSvc');
DeleteService('NetmanSchedule');
DeleteService('odservmaya70docserver');
DeleteService('odservmaya70docserverose');
DeleteService('PlugPlayodserv');
DeleteService('PlugPlayTrkWks');
DeleteService('PolicyAgentThemes');
DeleteService('ProtectedStorageSCardSvr');
DeleteService('RSVPRSVP');
DeleteService('SCardSvrDnscache');
DeleteService('SCardSvrWZCSVC');
DeleteService('ShellHWDetectionNetDDEdsdm');
DeleteService('SPBBCSvcRasMan');
DeleteService('SPBBCSvcRasManidsvc');
DeleteService('ThemesTlntSvr');
DeleteService('TlntSvrRSVP');
DeleteService('TrkWksSchedule');
DeleteService('usprservhelpsvc');
DeleteService('xmlprovMicrosoftMSIServer');
DeleteService('wscsvcNetman');
DeleteService('WmiLiveUpdate');
DeleteService('XDva186');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Program Files\WinAntispyware2008\Uninstall.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Temporary Internet Files\Content.IE5\MRF0ENBJ\Install[1].exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\XDva186.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winxd61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winty61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winqv26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winot37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winot05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winkp48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winin15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf04.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Adobeusprserv');
BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
BC_DeleteSvc('dmserverdmserver');
BC_DeleteSvc('dmserverSysmonLog');
BC_DeleteSvc('IDriverTCCALib8');
BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('LiveUpdatehelpsvc');
BC_DeleteSvc('MicrosoftMSIServer');
BC_DeleteSvc('mnmsrvcCryptSvc');
BC_DeleteSvc('mnmsrvcMSIServer');
BC_DeleteSvc('NetmanNtmsSvc');
BC_DeleteSvc('NetmanSchedule');
BC_DeleteSvc('odservmaya70docserver');
BC_DeleteSvc('odservmaya70docserverose');
BC_DeleteSvc('PlugPlayodserv');
BC_DeleteSvc('PlugPlayTrkWks');
BC_DeleteSvc('PolicyAgentThemes');
BC_DeleteSvc('ProtectedStorageSCardSvr');
BC_DeleteSvc('RSVPRSVP');
BC_DeleteSvc('SCardSvrDnscache');
BC_DeleteSvc('SCardSvrWZCSVC');
BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
BC_DeleteSvc('SPBBCSvcRasMan');
BC_DeleteSvc('SPBBCSvcRasManidsvc');
BC_DeleteSvc('ThemesTlntSvr');
BC_DeleteSvc('TlntSvrRSVP');
BC_DeleteSvc('TrkWksSchedule');
BC_DeleteSvc('usprservhelpsvc');
BC_DeleteSvc('xmlprovMicrosoftMSIServer');
BC_DeleteSvc('wscsvcNetman');
BC_DeleteSvc('WmiLiveUpdate');
BC_DeleteSvc('XDva186');

BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Всё сделал как вы сказали. Наконец-то при перезагрузки у меня не было ребута и усчезла эта икона с трея, за что уже спасибо :) . Логи в студии.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
DeleteService('wscsvcNetman');
DeleteService('Wmiusprservhelpsvc');
DeleteService('WmiLiveUpdate');
DeleteService('usprservhelpsvc');
DeleteService('TrkWksSchedule');
DeleteService('TlntSvrRSVP');
DeleteService('ThemesTlntSvr');
DeleteService('SPBBCSvcRasManidsvc');
DeleteService('SPBBCSvcRasMan');
DeleteService('ShellHWDetectionNetDDEdsdm');
DeleteService('SCardSvrWZCSVC');
DeleteService('SCardSvrDnscache');
DeleteService('RSVPRSVP');
DeleteService('ProtectedStorageSCardSvr');
DeleteService('PolicyAgentThemes');
DeleteService('PlugPlayTrkWks');
DeleteService('PlugPlayodserv');
DeleteService('odservmaya70docserverose');
DeleteService('odservmaya70docserver');
DeleteService('NetmanSchedule');
DeleteService('NetmanNtmsSvc');
DeleteService('mnmsrvcMSIServer');
DeleteService('mnmsrvcCryptSvc');
DeleteService('MicrosoftMSIServer');
DeleteService('LiveUpdatehelpsvc');
DeleteService('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
DeleteService('IDriverTCCALib8');
DeleteService('dmserverSysmonLog');
DeleteService('dmserverdmserver');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
DeleteService('ccSetMgrImapiService');
DeleteService('AWHelpServerNetTcpPortSharing');
DeleteService('AWHelpServerccSetMgrImapiServiceALG');
DeleteService('AWHelpServerccSetMgrImapiService');
DeleteService('Adobeusprserv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wscsvcNetman');
BC_DeleteSvc('Wmiusprservhelpsvc');
BC_DeleteSvc('WmiLiveUpdate');
BC_DeleteSvc('usprservhelpsvc');
BC_DeleteSvc('TrkWksSchedule');
BC_DeleteSvc('TlntSvrRSVP');
BC_DeleteSvc('ThemesTlntSvr');
BC_DeleteSvc('SPBBCSvcRasManidsvc');
BC_DeleteSvc('SPBBCSvcRasMan');
BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
BC_DeleteSvc('SCardSvrWZCSVC');
BC_DeleteSvc('SCardSvrDnscache');
BC_DeleteSvc('RSVPRSVP');
BC_DeleteSvc('ProtectedStorageSCardSvr');
BC_DeleteSvc('PolicyAgentThemes');
BC_DeleteSvc('PlugPlayTrkWks');
BC_DeleteSvc('PlugPlayodserv');
BC_DeleteSvc('odservmaya70docserverose');
BC_DeleteSvc('odservmaya70docserver');
BC_DeleteSvc('NetmanSchedule');
BC_DeleteSvc('NetmanNtmsSvc');
BC_DeleteSvc('mnmsrvcMSIServer');
BC_DeleteSvc('mnmsrvcCryptSvc');
BC_DeleteSvc('MicrosoftMSIServer');
BC_DeleteSvc('LiveUpdatehelpsvc');
BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('IDriverTCCALib8');
BC_DeleteSvc('dmserverSysmonLog');
BC_DeleteSvc('dmserverdmserver');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
BC_DeleteSvc('ccSetMgrImapiService');
BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
BC_DeleteSvc('AWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
BC_DeleteSvc('Adobeusprserv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Всё сделано. Вот новые логи.

выполните скрипт
[code]
begin
BC_DeleteSvc('wscsvcNetman');
BC_DeleteSvc('Wmiusprservhelpsvc');
BC_DeleteSvc('WmiLiveUpdate');
BC_DeleteSvc('WinRoute');
BC_DeleteSvc('usprservhelpsvc');
BC_DeleteSvc('TrkWksSchedule');
BC_DeleteSvc('ThemesTlntSvr');
BC_DeleteSvc('SPBBCSvcRasManidsvc');
BC_DeleteSvc('SPBBCSvcRasMan');
BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
BC_DeleteSvc('SCardSvrWZCSVC');
BC_DeleteSvc('SCardSvrDnscache');
BC_DeleteSvc('RSVPRSVP');
BC_DeleteSvc('ProtectedStorageSCardSvr');
BC_DeleteSvc('PlugPlayTrkWks');
BC_DeleteSvc('PlugPlayodserv');
BC_DeleteSvc('odservmaya70docserverose');
BC_DeleteSvc('odservmaya70docserver');
BC_DeleteSvc('NetmanNtmsSvc');
BC_DeleteSvc('NetmanSchedule');
BC_DeleteSvc('mnmsrvcMSIServer');
BC_DeleteSvc('mnmsrvcCryptSvc');
BC_DeleteSvc('LiveUpdatehelpsvc');
BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('IDriverTCCALib8');
BC_DeleteSvc('dmserverSysmonLog');
BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
BC_DeleteSvc('ccSetMgrImapiService');
BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
BC_DeleteSvc('AWHelpServerccSetMgrImapiServiceALG');
BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
BC_DeleteSvc('Adobeusprserv');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи

Cкрипт выполнен. Логи тут.

в safe mode выполните скрипт из поста 6 ...
затем повторите логи начиная с пунта 10 правил

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\рабочий стол\\icesword122en\\winddl - [B]Trojan-Downloader.Win32.Mutant.bhl[/B] (DrWEB: BackDoor.Bulknet.238)[*] c:\\documents and settings\\администратор\\рабочий стол\\icesword122en\\windl - [B]Trojan-Downloader.Win32.Mutant.bhl[/B] (DrWEB: BackDoor.Bulknet.238)[*] c:\\program files\\winantispyware2008\\uninstall.exe - [B]Trojan-Downloader.Win32.FraudLoad.vcby[/B] (DrWEB: Trojan.Fakealert.1322)[*] c:\\windows\\system32\\braviax.exe - [B]Backdoor.Win32.UltimateDefender.gen[/B] (DrWEB: Trojan.Fakealert.1323)[*] c:\\windows\\system32\\winivstr.exe - [B]Trojan-Downloader.Win32.FraudLoad.vcby[/B] (DrWEB: Trojan.Fakealert.1322)[/LIST][/LIST]