Странный Hoax.Win32.Avgold.h

[mik-740]

Здраствуйте! Имею по описаниям нечто похожее на Hoax.Win32.Avgold.h (Посторонняя иконка в виде красного креста в трее). Комп переодически сам перезагружается. Так же вроде присутствует FraudTool.Win32.UltimateDefender.cm (или похожее). Если можно помогите. Логи прилагаю.

[Numb]

На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O4 - HKLM\..\Run: [AELNQEPJ] %systemroot%\AELNQEPJ.exe
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('point32.exe','');
 QuarantineFile('msansspc.dll','');
 QuarantineFile('karna.dat','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
 QuarantineFile('C:\WINDOWS\AELNQEPJ.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dzzryjrq.sys','');
 QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
 QuarantineFile('c:\windows\system32\brastk.exe','');
 TerminateProcessByName('c:\windows\system32\brastk.exe');
 DeleteFile('c:\windows\system32\brastk.exe');
 BC_DeleteFile('c:\windows\system32\brastk.exe');
 DeleteFile('C:\WINDOWS\system32\brastk.exe');
 BC_DeleteFile('C:\WINDOWS\system32\brastk.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\dzzryjrq.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\dzzryjrq.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfa06.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winfa06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjb07.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winjb07.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winly64.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winly64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnt57.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winnt57.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnu70.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winnu70.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqh24.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqh24.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsr81.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsr81.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsv46.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsv46.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvk80.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvk80.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxn10.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winxn10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winya77.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winya77.sys');
 DeleteFile('C:\WINDOWS\AELNQEPJ.exe');
 BC_DeleteFile('C:\WINDOWS\AELNQEPJ.exe');
 DeleteFile('C:\WINDOWS\system32\avpo.exe');
 BC_DeleteFile('C:\WINDOWS\system32\avpo.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 BC_DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\karna.dat');
 BC_DeleteFile('C:\WINDOWS\system32\karna.dat');
 DeleteFile('C:\WINDOWS\system32\msansspc.dll');
 BC_DeleteFile('C:\WINDOWS\system32\msansspc.dll');
 BC_DeleteSvc('Winya77');
 BC_DeleteSvc('Winxn10');
 BC_DeleteSvc('Winvk80');
 BC_DeleteSvc('Winsv46');
 BC_DeleteSvc('Winsr81');
 BC_DeleteSvc('Winqh24');
 BC_DeleteSvc('Winnu70');
 BC_DeleteSvc('Winnt57');
 BC_DeleteSvc('Winly64');
 BC_DeleteSvc('Winjb07');
 BC_DeleteSvc('Winfa06');
 BC_DeleteSvc('dzzryjrq');
 BC_DeleteSvc('wscsvcALG');
 BC_DeleteSvc('W32TimeTrkWks');
 BC_DeleteSvc('W32TimeHidServ');
 BC_DeleteSvc('upnphostlanmanserver');
 BC_DeleteSvc('TlntSvrSPBBCSvc');
 BC_DeleteSvc('SharedAccessUPS');
 BC_DeleteSvc('SchedulelanmanserverRasAuto');
 BC_DeleteSvc('SavRoamaspnet_state');
 BC_DeleteSvc('NVSvcFastUserSwitchingCompatibility');
 BC_DeleteSvc('NlaALG');
 BC_DeleteSvc('MSSQLServerADHelperCryptSvc');
 BC_DeleteSvc('LmHostsNVSvcFastUserSwitchingCompatibility');
 BC_DeleteSvc('lanmanserverRasAuto');
 BC_DeleteSvc('ImapiServiceIAANTMon');
 BC_DeleteSvc('HTTPFilterSwPrv');
 BC_DeleteSvc('COMSysAppDcomLaunchSPBBCSvc');
 BC_DeleteSvc('COMSysAppDcomLaunch');
 BC_DeleteSvc('ccEvtMgrpr2ajtsc');
 BC_DeleteSvc('AudioSrvMDM');
 BC_DeleteSvc('aspnet_stateMSIServer');
 BC_DeleteSvc('ALGsrservice');
delwinlogonnotifybykeyname('WinCtrl32');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=32270 , как написано в прил.2 правил, и повторите логи.

[mik-740]

Посторонняя иконка в виде красного креста в трее пропала, прикрепляю логи, вирус выслал. С уважением Михаил.

[V_Bond]

выполните скрипт

Код:

begin
 DeleteFile('msansspc.dll');
ExecuteSysClean;
RebootWindows(true);
end.

повторите логи

[mik-740]

Прикрепляю логи. Интересно, что зверь на меня напал?

[Гриша]

Чисто, был спамбот...

[mik-740]

Спасибо, помогли. С меня причитается!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\brastk.exe - Trojan.Win32.Pakes.lel (DrWEB: Trojan.Click.19754)