Заблокирована работа антивируса Касперского, не запускается по прямому AVZ , изловился процесс braviax.exe несколько раз убивался, но видно подгружается откудато. Логи прилагаются.
Заблокирована работа антивируса Касперского, не запускается по прямому AVZ , изловился процесс braviax.exe несколько раз убивался, но видно подгружается откудато. Логи прилагаются.
Выполнить скрипт:
Загрузить карантин по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINXP\system32\DRIVERS\79310914.sys',''); QuarantineFile('C:\WINXP\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINXP\system32\Drivers\Beep.sys',''); QuarantineFile('C:\WINXP\system32\cru629.dat',''); QuarantineFile('C:\WINXP\system32\braviax.exe',''); DeleteFile('C:\WINXP\system32\braviax.exe'); DeleteFile('C:\WINXP\system32\cru629.dat'); DeleteFile('C:\WINXP\system32\DRIVERS\79310914.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Диск с дистрибутивом системы есть? Надо будет ручками заменять файлы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Дистрибутив конечно есть, жду руководства к действию.
Последний раз редактировалось AndreyKa; 17.08.2009 в 17:18. Причина: Убрал карантин
1. Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINXP\system32\regedit.exe',''); QuarantineFile('C:\WINXP\system32\cru629.dat',''); TerminateProcessByName('c:\winxp\braviax.exe'); QuarantineFile('c:\winxp\braviax.exe',''); DeleteFile('c:\winxp\braviax.exe'); DeleteFile('C:\WINXP\system32\cru629.dat'); DeleteFile('C:\WINXP\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. C:\WINXP\system32\Drivers\Ntfs.sys и C:\WINXP\System32\Drivers\Beep.SYS заменить из дистрибутива по этой методике
4. Сделайте новые логи (лог HiJack тоже)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файлики заменил , логи сделал.
Как заменяли файлы? Подменяли с дистрибутива или папки dllcache?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Дистрибутив с компакт диска , размер и дата файликов совпадали с теми что заменял. Чексум не проверял.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз)
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите
-Выполните скриптКод:O4 - HKLM\..\Run: [Regedit32] C:\WINXP\system32\regedit.exe O20 - AppInit_DLLs: cru629.dat
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\winxp\system32\braviax.exe'); DeleteFile('c:\winxp\system32\braviax.exe'); DeleteFile('C:\WINXP\system32\regedit.exe'); DeleteFile('C:\WINXP\system32\cru629.dat'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Файлы C:\WINXP\system32\Drivers\Ntfs.sys и C:\WINXP\System32\Drivers\Beep.SYS замените на чистые: http://virusinfo.info/showthread.php?t=51654
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
+ к сообщению от Rene-gad
Что же это за дистрибутив такой, в котором дата создания файла 12.08.2009 и файл ntfs.sys заражен Virus.Win32.Protector.c, а beep.sys - Backdoor.Win32.UltimateDefender.xm?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ступил , дело было вечером. Прото по ф5 скопировал с заменой файлов , и видно по пути... Все скопировал через лайф СД. В результате первым делом запустился каспер и убил cru698, а затем и braviax.exe . Пока никаких признаков вируной активности не заметно.
-Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('%temp%','*.*',true); DeleteFileMask('%windir%\temp','*.*',true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\winxp\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fft ( DrWEB: Trojan.Fakealert.4774, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan, AVAST4: Win32:MalOb-N [Cryp] )
- c:\winxp\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fft ( DrWEB: Trojan.Fakealert.4774, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan, AVAST4: Win32:MalOb-N [Cryp] )
- c:\winxp\system32\cru629.dat - Backdoor.Win32.Small.ejx ( DrWEB: Trojan.Proxy.1739, BitDefender: Trojan.Generic.343897, NOD32: Win32/Small.EJX trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\winxp\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.xm ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.80497AAE, AVAST4: Win32:FakeAV-NO [Rtk] )
- c:\winxp\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Wigon.LX trojan, AVAST4: Win32:Cutwail-Y [Trj] )
Уважаемый(ая) slaptev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.