Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

braviax, pc anywhere, cru629 и пр. (заявка № 53864)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27

    Thumbs up braviax, pc anywhere, cru629 и пр.

    Здравствуйте.
    Подцепил вирус (неизвестно как и где, но не в этом суть), вчера при включении компьютера (Win XP SP2) запустился якобы PC Antispyware с предложением вылечить всю систему. Почуяв подвох, отказался от его предложения, попытался было удалить его и braviax.exe — тщетно, PC Antispyware удаяляется, а braviax.exe неведомым образом восстанавливается. Тогда я вместо braviax.exe в windir и sysdir положил ctfmon.exe с именем "braviax.exe" и атрибутом "только для чтения". braviax, вроде, перестала запускаться, но при каждом запуске системы файл с именем "BNx.tmp" (где х — цифра) просится в сеть, я, естественно, запрещаю это. Почуяв, что дело не чисто, проверил windir с помощью Malwarebytes' Anti-Malware. Было найдена три подозртильных файла: beep.sys (по-моему, в двух экземплярах) и ещё что-то. Удаляю. После перезапуска они восстанавливаются. Попробовал связку SDFix + ComboFix. Программы удалили много подозрительного, но вот после перезапуска всё снова появилось. Пользуюсь 7-м Касперским, он вообще всё пропускал, находя что-то в svchost.exe. Далее в безопасном режиме проверил диск AVPTool. Были удалены 5 вредоносных объектов: cru629.dat (2 шт.), beep.sys (2 шт.), 5-й объект не запомнил. После перезапуска, как обычно, вирусы живут и процветают.
    Перед созданием этой темы, как следует по правилам, делал логи (после отключения восстановления системы). После создания virusinfo_syscure.zip перезапустился... Теперь ко всему ещё добавился PC Antispyware.
    Вложения Вложения
    Последний раз редактировалось brok3n; 03.09.2009 в 12:51.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\System32\drivers\23dfaed1.sys','');
     QuarantineFile('C:\WINDOWS\system32\wisdstr.exe','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\wisdstr.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\23dfaed1.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_QrSvc('vkquwexg');
    BC_DeleteSvc('vkquwexg');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=53864).
    Сделайте новые логи.
    Последний раз редактировалось Bratez; 03.09.2009 в 14:02.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    Спасибо за быстрый ответ.
    Скрипт выполнил, компьютер перезагрузился, загрузил карантин (Файл сохранён как 090903_141014_virus_4a9f9606b1aec.zip).
    Сейчас буду делать новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    Новые логи. Фейковый PC Antispyware всё ещё есть, активничает.
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [braviax] braviax.exe
    O4 - HKUS\S-1-5-18\..\Run: [braviax]  (User 'SYSTEM')
    O20 - AppInit_DLLs: cru629.dat
    Не перезагружаясь, сразу после этого выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('cru629.dat','');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    DeleteFile('C:\WINDOWS\system32\cru629.dat');
    DeleteFile('C:\WINDOWS\cru629.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить:
    Код:
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [braviax] braviax.exe
    O4 - HKUS\S-1-5-18\..\Run: [braviax]  (User 'SYSTEM')
    O20 - AppInit_DLLs: cru629.dat
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('cru629.dat');
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     DeleteFile('c:\windows\system32\braviax.exe');
     BC_DeleteSvc('Beep');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новый станд. лог №2
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    Если я правильно понял, то станд. лог №2 — это "Скрипт сбора информации для раздела...".
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Onlineeye\gmxffcsrv.exe','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','braviax');
     DeleteFile('C:\WINDOWS\braviax.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин.
    повторить лог.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    При запуске создался файл bn6.tmp, попросил доступ в сеть.
    Карантин отправил.
    Посматриваю на сетевую активность в Outpost'e: у svchost.exe открыто 50-65 соединений, а тут и wisdstr.exe подоспел, начал что-то активно качать с alertonbgabert.com. Я быстренько заблокировал любую его активность.
    Вложения Вложения
    Последний раз редактировалось brok3n; 03.09.2009 в 17:00.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Опять он вылез, да что ж такое!

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки еще разок п.2 Диагностики.

    Ставьте SP3 и последующие обновления - система дырявая, так до бесконечности лечить будем, не это, так другое.
    I am not young enough to know everything...

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    + к совету Bratez

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    Выполнил скрипт, написанный Bratez. Стоит ли говорить, что после перезагрузки появился BN7.tmp и попросил доступ в сеть.

    thyrex
    Выполнил.

    SP3 будет скачан через несколько часов. После его установки нужно сделать какие-нибудь логи?
    Вложения Вложения

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    agp440.sys - чистый.

    Скачайте свежий CureIt и пролечите систему, он должен справиться.
    Сделать это лучше всего непосредственно перед установкой SP3.
    http://www.freedrweb.com/cureit/
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    Благодарю, так и сделаю. А восстановление системы включать уже можно? Или это будет бессмысленно - оно зараженные файлы в точки восстановления засунет?..

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от brok3n Посмотреть сообщение
    оно зараженные файлы в точки восстановления засунет?..
    именно!
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    SP3 не устанавливается — установка останавливается где-то на середине.

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    А лечение CureIt'ом как прошло?
    I am not young enough to know everything...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    В порядке бреда - такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('ntfs.sys','');
    RebootWindows(true);
    end.
    И пришлите карантин с ntfs.sys, если оно туда попадёт.

  20. #19
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    15
    Вес репутации
    27
    Цитата Сообщение от Bratez Посмотреть сообщение
    А лечение CureIt'ом как прошло?
    Нашёл один passviewer и стандартный набор: пару cru629, пару beep и figaro.sys. Кстати, несмотря на отключённую защиту, Windows попросил вставить установочный диск, я вставил (раньше подобные просьбы игнорировал). Файл beep.sys, вроде бы, не меняется уже несколько перезагрузок — размер вменяемый (около 4 кб), сравнивал с другими компьютерами.

    pig
    Cкоро выполню. где-то как раз видел, что ntfs.sys был замешан c braviax

    Добавлено через 24 минуты

    ntfs.sys не попал в карантин.
    Последний раз редактировалось brok3n; 04.09.2009 в 11:10. Причина: Добавлено

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Сделайте новый комплект логов.
    I am not young enough to know everything...

  • Уважаемый(ая) brok3n, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. braviax.exe
      От velestmn в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.08.2009, 09:08
    2. Braviax!!!!
      От arkannnsk в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:51
    3. Braviax..
      От Nidhogg в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 04:21
    4. braviax.
      От albert629 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:20
    5. Braviax
      От Nidhogg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.03.2008, 14:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00939 seconds with 23 queries