Помогите изловить зверюгу :)

**slaptev** · 17.08.2009, 11:40

Заблокирована работа антивируса Касперского, не запускается по прямому AVZ , изловился процесс braviax.exe несколько раз убивался, но видно подгружается откудато. Логи прилагаются.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 17.08.2009, 12:30

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINXP\system32\DRIVERS\79310914.sys','');
 QuarantineFile('C:\WINXP\system32\Drivers\Ntfs.sys','');
 QuarantineFile('C:\WINXP\system32\Drivers\Beep.sys','');
 QuarantineFile('C:\WINXP\system32\cru629.dat','');
 QuarantineFile('C:\WINXP\system32\braviax.exe','');
 DeleteFile('C:\WINXP\system32\braviax.exe');
 DeleteFile('C:\WINXP\system32\cru629.dat');
 DeleteFile('C:\WINXP\system32\DRIVERS\79310914.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин по Правилам.
Сделать новые логи.
Диск с дистрибутивом системы есть? Надо будет ручками заменять файлы.

**slaptev** · 17.08.2009, 16:55

Дистрибутив конечно есть, жду руководства к действию.

**thyrex** · 17.08.2009, 17:08

1. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXP\system32\regedit.exe','');
 QuarantineFile('C:\WINXP\system32\cru629.dat','');
 TerminateProcessByName('c:\winxp\braviax.exe');
 QuarantineFile('c:\winxp\braviax.exe','');
 DeleteFile('c:\winxp\braviax.exe');
 DeleteFile('C:\WINXP\system32\cru629.dat');
 DeleteFile('C:\WINXP\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

3. C:\WINXP\system32\Drivers\Ntfs.sys и C:\WINXP\System32\Drivers\Beep.SYS заменить из дистрибутива по этой методике

4. Сделайте новые логи (лог HiJack тоже)

**slaptev** · 17.08.2009, 18:35

Файлики заменил , логи сделал.

**thyrex** · 17.08.2009, 20:07

Как заменяли файлы? Подменяли с дистрибутива или папки dllcache?

**slaptev** · 18.08.2009, 09:27

Дистрибутив с компакт диска , размер и дата файликов совпадали с теми что заменял. Чексум не проверял.

**Rene-gad** · 18.08.2009, 11:25

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз)
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите

Код:

O4 - HKLM\..\Run: [Regedit32] C:\WINXP\system32\regedit.exe
O20 - AppInit_DLLs: cru629.dat

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\winxp\system32\braviax.exe');
 DeleteFile('c:\winxp\system32\braviax.exe');
 DeleteFile('C:\WINXP\system32\regedit.exe');
 DeleteFile('C:\WINXP\system32\cru629.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Файлы C:\WINXP\system32\Drivers\Ntfs.sys и C:\WINXP\System32\Drivers\Beep.SYS замените на чистые: http://virusinfo.info/showthread.php?t=51654
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**thyrex** · 18.08.2009, 11:31

+ к сообщению от Rene-gad

Что же это за дистрибутив такой, в котором дата создания файла 12.08.2009 и файл ntfs.sys заражен Virus.Win32.Protector.c, а beep.sys - Backdoor.Win32.UltimateDefender.xm?

**slaptev** · 18.08.2009, 15:48

Ступил , дело было вечером. Прото по ф5 скопировал с заменой файлов , и видно по пути... Все скопировал через лайф СД. В результате первым делом запустился каспер и убил cru698, а затем и braviax.exe . Пока никаких признаков вируной активности не заметно.

**Rene-gad** · 18.08.2009, 16:32

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('%temp%','*.*',true);
 DeleteFileMask('%windir%\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**CyberHelper** · 19.08.2009, 16:32

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\winxp\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fft ( DrWEB: Trojan.Fakealert.4774, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan, AVAST4: Win32:MalOb-N [Cryp] )
2. c:\winxp\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fft ( DrWEB: Trojan.Fakealert.4774, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan, AVAST4: Win32:MalOb-N [Cryp] )
3. c:\winxp\system32\cru629.dat - Backdoor.Win32.Small.ejx ( DrWEB: Trojan.Proxy.1739, BitDefender: Trojan.Generic.343897, NOD32: Win32/Small.EJX trojan, AVAST4: Win32:Trojan-gen {Other} )
4. c:\winxp\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.xm ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.80497AAE, AVAST4: Win32:FakeAV-NO [Rtk] )
5. c:\winxp\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Wigon.LX trojan, AVAST4: Win32:Cutwail-Y [Trj] )

Помогите изловить зверюгу :) (заявка № 52265)

Опции темы

Помогите изловить зверюгу :)

Все тоже самое, без видимых изменений.

Антивирусная помощь

Пока без видимых изменений

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Периодически все притормаживает. Помогите изловить зловреда.

Помогите изловить безымянный руткит.

Метки для этой темы

Ваши права в разделе