trojan-downloader braviax.exe

[Carbon]

Здравствуйте, все началось с того, что в системном трее появилась эмблема зачеркнутый крест в красном кружке, из него поступило сообщение на английском вроде того, что скачайте antispyware, т.к. обнаружен spyware и Kaspersky Antivirus 7 обнаружил Trojan-Downloader.win32.Agent.akhf в процессе C:\windows\system32\braviax.exe и не смог его удалить даже при перезагрузке. Сегодня, а первое событие произошло вчера, вроде Касперскому удалось почистить от этого доунлоадера компьютер и при перезагрузке он вроде удалился, прошу проверить так это или нет в моих логах и помочь мне скриптом, если еще надо почистить.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wini10544.exe','');
 QuarantineFile('C:\WINDOWS\usbdevice\explolrer.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysgdi.exe','');
 DeleteFile('C:\WINDOWS\system32\wini10544.exe');
 DeleteFile('C:\Documents and Settings\popova.GRPB\Local Settings\Temporary Internet Files\Content.IE5\8P2ZKL6J\Install[1].exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');      
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Carbon]

Результат загрузкиФайл сохранён как 081021_053841_virus_48fdb13199f36.zip
Размер файла 62783
MD5 08a2242f9c9a1be72294b0e972475fc7

Логи чуть попозже

[AndreyKa]

В карантине один файл:
C:\WINDOWS\system32\wini10544.exe = FraudTool.Win32.XPSecurityCenter.be

[Carbon]

повторные логи пожалуйста

[Гриша]

Вот эти файлы:

Код:

C:\WINDOWS\system32\sysgdi.exe
C:\WINDOWS\usbdevice\explolrer.exe

Пришлите согласно приложению 2 правил...

[Carbon]

Сейчас немогу, т.к. компьютер на работе. Завтра постараюсь сделать, но дело в том, что архивировал все файлы, непонятно почему эти файлы не попали, хотя в списке они присутствовали.

[Carbon]

Файл сохранён как 081022_061423_virus_48ff0b0fa397e.zip
Размер файла 848438
MD5 218fb94335a5c24a85e23b4cf5da57cc

видимо тоже самое. а при добавлении запрошенных 2х файлов AVZ выдал следующее:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sysgdi.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\usbdevice\explolrer.exe)
Карантин с использованием прямого чтения - ошибка

[Гриша]

Руками их поищите в этих директориях, запакуйте в архив с паролем "virus" и пришлите...

[Carbon]

Поискал предварительно показав все скрытые, системные и защищенные системой файлы. Также провел поиск с такими же параметрами с помощью стандартного поиска по всему диску C. Видимо предыдущая версия антивируса касперского обнаружила и удалила их, а ту самую версию (Kaspersky Antivirus 7) я еще вчера удалил и переустановил на Kaspersky Internet Security 7 и удалил сразу каталог антивируса в program files после этого (как я думал, для безопасности)... Не ожидал что не все avz закарантинит что было помечено в скрипте, уж простите.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\usbdevice\explolrer.exe');
 DeleteFile('C:\WINDOWS\system32\sysgdi.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[Carbon]

выполнил, логи присылаю

[Гриша]

Чисто, жалобы есть?

[Carbon]

нет, спасибо Работает теперь как часы, ну не в прямом смысле конечно

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\wini10544.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.be (DrWEB: Trojan.Fakealert.1629)