Показано с 1 по 12 из 12.

win32:Bravix и возможно что-то еще (заявка № 51329)

  1. #1
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    27

    Thumbs up win32:Bravix и возможно что-то еще

    Делаю подобную процедуру впервые поэтому привожу все шаги которые делал:

    Все началось с того что компьютер внезапно стал перезагружаться, затем стало выводиться сообщение:
    "Your computer is infected!
    Windows has detected spyware infection!"
    Антивирус (Avast) заблокировался, и запустить его (и AVZ тоже) не получалось как из нормального так и из безопасного режима. После переименования запускного файла AVZ.exe из безопасного режима он стартанул и нашел следующий вирус:

    Win32:Bravix

    Далее удалив его я перезагрузился в нормальный режим, отключил восстановление системы и запустил аваст на загрузочную проверку, но при начале этой проверки минуты через 2 машина уходила в перезагрузку.
    Загрузился с компакт-диска (Bart PE). При помощи Cure IT просканировал диски нашел 7 эдементов в числе которых 2 файла с расширением DAT (C:\windows).
    Загрузился, отключил Аваст (и службы тоже). Выполнил скрипт №3. Перезагрузился. Выполнил Скрипт №2. Запустил Hijackthis и сохранил лог.
    Помогите пожалуйста, система вроде работает, антивирус не блокирован но сообщение о том что компьютер инфицирован (см. выше) все еще терзает меня.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Prog\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\soqwx32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\soqwx32.sys');
     DeleteFile('C:\Documents and Settings\Prog\Главное меню\Программы\Автозагрузка\ikowin32.exe');
     DeleteFile('cru629.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=51329

    3. Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    27
    Загрузил карантин по ссылке. Получил сообщение:
    Файл сохранён как090805_000807_virus_4a78952752508.zip
    Размер файла390992
    MD51bd4f64630e09536c2242002578e95fa

    Сейчас сделаю логи.

    Логи. Получилось их сделать только в Guard Mode. т.к. в противном случае компьютер сразу же уходил в перезагрузку. еще сгенерировался файл virusinfo_cure.zip весом в 300 с лишним килобайт. он нужен?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 05.08.2009 в 19:47.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    27
    Логи сделанные с помощью последних двух программ.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    1. Файл C:\WINDOWS\system32\Drivers\Ntfs.sys заражен, его нужно заменить на чистый из дистрибутива:
    - Загрузитесь в консоли восстановления
    -На приглашение введите строку:
    Код:
    expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys
    Вместо Х подставьте букву драйва,, где лежит дистрибутив.
    Переписывание подтвердите.
    -Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    -Загрузитесь нормально.

    Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления(см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

    2 .Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [braviax] braviax.exe
    O4 - S-1-5-21-842925246-1935655697-725345543-1003 Startup: ikowin32.exe (User '?')
    O4 - Startup: ikowin32.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('soqwx32');
     DeleteFile('c:\windows\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\soqwx32.sys');
     DeleteService('soqwx32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('soqwx32');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Rene-gad; 05.08.2009 в 21:02.

  8. #7
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    27
    Все сделал, сканирование вирусов не выявило. Сообщения о заражении больше не появляются.
    Логи прилагаю.
    Спасибо!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     SetServiceStart('Schedule', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.[/QUOTE]
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  10. #9
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    27
    Карантин:
    Файл сохранён как090807_195647_VIRUS_4a7c4ebfd0de4.zip

    Логи прилагаю.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    В логах ничего подозрительного.
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  12. #11
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    27
    Спасибо! Обязательно обновлю!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fdr ( DrWEB: Trojan.Fakealert.4703, BitDefender: Trojan.Fakealert.BHX )
      2. c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.wncc ( DrWEB: Trojan.Fakealert.4696, BitDefender: Gen:Trojan.Heur.Zbot.amW@b04HDDl )
      3. c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Gen:Rootkit.Heur.LmW@fe8y@Lh )


  • Уважаемый(ая) Telecaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. возможно Net-Worm.Win32
      От Monstra в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 10.04.2011, 03:12
    2. Вирус Возможно Win32/Conficer
      От RUNNER_1968 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 31.03.2010, 00:23
    3. Ответов: 22
      Последнее сообщение: 16.01.2010, 07:41
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 07:44
    5. Возможно Win32.HLLM.Beagle
      От neudachnik в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 03:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00614 seconds with 22 queries