Показано с 1 по 12 из 12.

win32:Bravix и возможно что-то еще (заявка № 51329)

  1. #1
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    54

    Thumbs up win32:Bravix и возможно что-то еще

    Делаю подобную процедуру впервые поэтому привожу все шаги которые делал:

    Все началось с того что компьютер внезапно стал перезагружаться, затем стало выводиться сообщение:
    "Your computer is infected!
    Windows has detected spyware infection!"
    Антивирус (Avast) заблокировался, и запустить его (и AVZ тоже) не получалось как из нормального так и из безопасного режима. После переименования запускного файла AVZ.exe из безопасного режима он стартанул и нашел следующий вирус:

    Win32:Bravix

    Далее удалив его я перезагрузился в нормальный режим, отключил восстановление системы и запустил аваст на загрузочную проверку, но при начале этой проверки минуты через 2 машина уходила в перезагрузку.
    Загрузился с компакт-диска (Bart PE). При помощи Cure IT просканировал диски нашел 7 эдементов в числе которых 2 файла с расширением DAT (C:\windows).
    Загрузился, отключил Аваст (и службы тоже). Выполнил скрипт №3. Перезагрузился. Выполнил Скрипт №2. Запустил Hijackthis и сохранил лог.
    Помогите пожалуйста, система вроде работает, антивирус не блокирован но сообщение о том что компьютер инфицирован (см. выше) все еще терзает меня.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Prog\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\soqwx32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\soqwx32.sys');
     DeleteFile('C:\Documents and Settings\Prog\Главное меню\Программы\Автозагрузка\ikowin32.exe');
     DeleteFile('cru629.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=51329

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    54
    Загрузил карантин по ссылке. Получил сообщение:
    Файл сохранён как090805_000807_virus_4a78952752508.zip
    Размер файла390992
    MD51bd4f64630e09536c2242002578e95fa

    Сейчас сделаю логи.

    Логи. Получилось их сделать только в Guard Mode. т.к. в противном случае компьютер сразу же уходил в перезагрузку. еще сгенерировался файл virusinfo_cure.zip весом в 300 с лишним килобайт. он нужен?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 05.08.2009 в 19:47.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    54
    Логи сделанные с помощью последних двух программ.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Файл C:\WINDOWS\system32\Drivers\Ntfs.sys заражен, его нужно заменить на чистый из дистрибутива:
    - Загрузитесь в консоли восстановления
    -На приглашение введите строку:
    Код:
    expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys
    Вместо Х подставьте букву драйва,, где лежит дистрибутив.
    Переписывание подтвердите.
    -Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    -Загрузитесь нормально.

    Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления(см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

    2 .Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [braviax] braviax.exe
    O4 - S-1-5-21-842925246-1935655697-725345543-1003 Startup: ikowin32.exe (User '?')
    O4 - Startup: ikowin32.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('soqwx32');
     DeleteFile('c:\windows\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\soqwx32.sys');
     DeleteService('soqwx32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('soqwx32');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Rene-gad; 05.08.2009 в 21:02.

  8. #7
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    54
    Все сделал, сканирование вирусов не выявило. Сообщения о заражении больше не появляются.
    Логи прилагаю.
    Спасибо!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     SetServiceStart('Schedule', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.[/QUOTE]
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  10. #9
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    54
    Карантин:
    Файл сохранён как090807_195647_VIRUS_4a7c4ebfd0de4.zip

    Логи прилагаю.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах ничего подозрительного.
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  12. #11
    Junior Member Репутация
    Регистрация
    04.08.2009
    Сообщений
    7
    Вес репутации
    54
    Спасибо! Обязательно обновлю!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fdr ( DrWEB: Trojan.Fakealert.4703, BitDefender: Trojan.Fakealert.BHX )
      2. c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.wncc ( DrWEB: Trojan.Fakealert.4696, BitDefender: Gen:Trojan.Heur.Zbot.amW@b04HDDl )
      3. c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Gen:Rootkit.Heur.LmW@fe8y@Lh )


  • Уважаемый(ая) Telecaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. возможно Net-Worm.Win32
      От Monstra в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 10.04.2011, 03:12
    2. Вирус Возможно Win32/Conficer
      От RUNNER_1968 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 31.03.2010, 00:23
    3. Ответов: 22
      Последнее сообщение: 16.01.2010, 07:41
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 07:44
    5. Возможно Win32.HLLM.Beagle
      От neudachnik в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 03:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01403 seconds with 20 queries