-
Самоустановившееся и неудаляемое приложение braviax.exe
Всем доброго времени суток!
Мне понадобились кое-какие данные о произведениях Михаила Веллера. Яндекс выдал адрес его персонального сайта: веллер-точка-ру (адрес убрал, чтобы другие не накололись). Я едва успел переместиться по ссылке и начать знакомство с сайтом, как вдруг монитор мигнул, и началась принудительная перезагрузка. Когда она закончилась, мой NOD 32 выдал сообщение об обнаруженном вирусе braviax.exe. На Рабочем столе "прописался" значок приложения braviax.bat (я его тут же удалил). В системном трее тоже появился новый значок – красный кружок с белым крестиком и английским сообщением о том, что мой компьютер заражен spyware. Далее следовало предложение щелкнуть по значку и загрузить "анти-шпионскую" программу.
Разумеется, щелкать по значку я не стал (уже проходили), а решил справиться с незваным гостем своими силами. Через AVZ нашел файл braviax.exe, удалил его, а также нашел и удалил его ключи в реестре (их было четыре). Перед тем, как делать перезагрузку, через msconfig слазал в "Автозагрузку". Увидел там аж два "самопрописавшихся" braviax.exe, с окошечек которых снял галочки.
Однако после перезагрузки компьютер повел себя довольно странно. Сначала появилось стандартно сообщение об изменении параметров (как всегда, когда что-то убираешь из "Автозагрузки"), затем уже выскочило сообщение Агнитума, как бывает, когда отлючаешь файервол. Сразу после этого началась... повторная перезагрузка, после чего кружок с белым крестиком возник в системном трее снова. Антивирусник сообщил мне о двух троянах, порожденных braviax.exe: figaro.sys и univrs32.dat.
Через Проводник слазал в system 32 и легко нашел там braviax.exe. Но удаляться это приложение не желает. Довольно странно повел себя и антивирусник, запущенный на глубокую проверку: в профиле Mozilla Firefox он нашел трояна, но из всех кнопок активна почему-то была лишь кнопка "Пропустить" (остальные были затенены). Dr Web (CureIt) обнаружил и удалил три других трояна, а упомянутых "не увидел".
Прежде, чем обратиться на форум за помощью, я несколько раз пытался удалить зловредное приложение через AVZ, однако каждый раз повторялся все тот же трюк с двойной перезагрузкой, и оно вместе с ключами "прописывалось" заново.
Буду благодарен за любые рекомендации по изгнанию этого паршивца.
Последний раз редактировалось Пришелец-13; 29.07.2008 в 13:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\SSDefrag.sys','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
-
-
Спасибо за быстрый отклик!
Сделал то, что Вы просили. braviax.exe пока еще жив и после выполнения скрипта опять была двойная перезагрузка.
-
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe -Trojan:Win32/Tibs.gen!H
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe');
DeleteFile('c:\windows\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Паразитное приложение braviax.exe исчезло из трея и из "Автозагрузки". Прилагаю новые логи.
Последний раз редактировалось Пришелец-13; 29.07.2008 в 13:24.
-
Врагов в логах не видать. Как система?
-
Всем большое спасибо за помощь! Система в порядке. Никаких паразитных значков больше не выскакивает. Из "Автозагрузки" все braviax.exe и t-nova исчезли. До сих пор удивляюсь, откуда на, казалось бы, приличном сайте, такие "сюрпризы".
-
@Пришелец-13 Убей ссылочку в первом сообщении. Там действительно сидит зверь.
Последний раз редактировалось PavelA; 14.04.2008 в 12:39.
Причина: Удалил код малваре
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
not-a-virus:FraudTool.Win32.UltimateDefender.ev (kaspersky)
вот ещё один урок, не надо ходить под админом в инете и пользоваться надо браузером с отключёнными скриптами по умолчанию
-
-
Ребята, я хоть и не совсем "чайник", но не настолько продвинутый в премудрости борьбы с вирусами. Пожалуйста, подскажите, какую ссылочку убить в первом сообщении? Нужно что, опять выполнить скрипт?
-
Нужно просто отредактировать сообщение так,чтобы по ссылке ни кто не смог перейти.
-
-
Пришелец-13 оставьте что-то вроде weller.ru и понятно и просто так кликнув не перейдёшь.
-
Выполнил просьбу и обезопасил ссылку в изначальном сообщении. Подскажите, пожалуйста, а где нужно отключить исполнение скриптов, чтобы больше не попадать в такие дурацкие состояния?
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
В этой книге подробно описано как это сделать.
-
-
Мое мнение о программе AVZ и этом форуме – самое положительное. Еще два года назад (тогда у меня был другой ник и другой компьютер) мне здесь помогли выловить одного поганого "червя". А сколько разной дряни я уничтожаю самостоятельно, пользуясь программой Олега Зайцева! До знакомства с нею я мог до посинения выковыривать ключи из реестра; теперь же это происходит за считанные минуты. Форум вызывает искреннее уважение; никакой "тусы", никаких "междусобойчиков" в темах. Я рекомендовал его на всех форумах, где бываю, и всем своим знакомым.
Спасибо за подсказку насчет книги. Обязательно ее скачаю. Прямо сейчас.
-
Сообщение от
Пришелец-13
Выполнил просьбу и обезопасил ссылку в изначальном сообщении. Подскажите, пожалуйста, а где нужно отключить исполнение скриптов, чтобы больше не попадать в такие дурацкие состояния?
в браузере самое удобное в firefox + noscript : http://virusinfo.info/showthread.php?t=14752
ограниченного пользователя завести надо->во второй части статьи написано как это делать: http://virusinfo.info/showpost.php?p=96895&postcount=1 , тогда большинство зловредов просто не смогут запуститься даже если все остальные средства защиты не сработали.
Последний раз редактировалось drongo; 14.04.2008 в 13:27.
-