braviax, pc anywhere, cru629 и пр.

[brok3n]

Здравствуйте.
Подцепил вирус (неизвестно как и где, но не в этом суть), вчера при включении компьютера (Win XP SP2) запустился якобы PC Antispyware с предложением вылечить всю систему. Почуяв подвох, отказался от его предложения, попытался было удалить его и braviax.exe — тщетно, PC Antispyware удаяляется, а braviax.exe неведомым образом восстанавливается. Тогда я вместо braviax.exe в windir и sysdir положил ctfmon.exe с именем "braviax.exe" и атрибутом "только для чтения". braviax, вроде, перестала запускаться, но при каждом запуске системы файл с именем "BNx.tmp" (где х — цифра) просится в сеть, я, естественно, запрещаю это. Почуяв, что дело не чисто, проверил windir с помощью Malwarebytes' Anti-Malware. Было найдена три подозртильных файла: beep.sys (по-моему, в двух экземплярах) и ещё что-то. Удаляю. После перезапуска они восстанавливаются. Попробовал связку SDFix + ComboFix. Программы удалили много подозрительного, но вот после перезапуска всё снова появилось. Пользуюсь 7-м Касперским, он вообще всё пропускал, находя что-то в svchost.exe. Далее в безопасном режиме проверил диск AVPTool. Были удалены 5 вредоносных объектов: cru629.dat (2 шт.), beep.sys (2 шт.), 5-й объект не запомнил. После перезапуска, как обычно, вирусы живут и процветают.
Перед созданием этой темы, как следует по правилам, делал логи (после отключения восстановления системы). После создания virusinfo_syscure.zip перезапустился... Теперь ко всему ещё добавился PC Antispyware.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
 QuarantineFile('C:\WINDOWS\System32\drivers\23dfaed1.sys','');
 QuarantineFile('C:\WINDOWS\system32\wisdstr.exe','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\wisdstr.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\23dfaed1.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('vkquwexg');
BC_DeleteSvc('vkquwexg');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=53864).
Сделайте новые логи.

[brok3n]

Спасибо за быстрый ответ.
Скрипт выполнил, компьютер перезагрузился, загрузил карантин (Файл сохранён как 090903_141014_virus_4a9f9606b1aec.zip).
Сейчас буду делать новые логи.

[brok3n]

Новые логи. Фейковый PC Antispyware всё ещё есть, активничает.

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKUS\S-1-5-18\..\Run: [braviax]  (User 'SYSTEM')
O20 - AppInit_DLLs: cru629.dat

Не перезагружаясь, сразу после этого выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('cru629.dat','');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[PavelA]

Профиксить:

Код:

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKUS\S-1-5-18\..\Run: [braviax]  (User 'SYSTEM')
O20 - AppInit_DLLs: cru629.dat

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('cru629.dat');
 TerminateProcessByName('c:\windows\system32\braviax.exe');
 DeleteFile('c:\windows\system32\braviax.exe');
 BC_DeleteSvc('Beep');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать новый станд. лог №2

[brok3n]

Если я правильно понял, то станд. лог №2 — это "Скрипт сбора информации для раздела...".

[PavelA]

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Onlineeye\gmxffcsrv.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','braviax');
 DeleteFile('C:\WINDOWS\braviax.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин.
повторить лог.

[brok3n]

При запуске создался файл bn6.tmp, попросил доступ в сеть.
Карантин отправил.
Посматриваю на сетевую активность в Outpost'e: у svchost.exe открыто 50-65 соединений, а тут и wisdstr.exe подоспел, начал что-то активно качать с alertonbgabert.com. Я быстренько заблокировал любую его активность.

[Bratez]

Опять он вылез, да что ж такое!

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки еще разок п.2 Диагностики.

Ставьте SP3 и последующие обновления - система дырявая, так до бесконечности лечить будем, не это, так другое.

[thyrex]

+ к совету Bratez

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys','');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[brok3n]

Выполнил скрипт, написанный Bratez. Стоит ли говорить, что после перезагрузки появился BN7.tmp и попросил доступ в сеть.

thyrex
Выполнил.

SP3 будет скачан через несколько часов. После его установки нужно сделать какие-нибудь логи?

[Bratez]

agp440.sys - чистый.

Скачайте свежий CureIt и пролечите систему, он должен справиться.
Сделать это лучше всего непосредственно перед установкой SP3.
http://www.freedrweb.com/cureit/

[brok3n]

Благодарю, так и сделаю. А восстановление системы включать уже можно? Или это будет бессмысленно - оно зараженные файлы в точки восстановления засунет?..

[Bratez]

оно зараженные файлы в точки восстановления засунет?..

именно!

[brok3n]

SP3 не устанавливается — установка останавливается где-то на середине.

[Bratez]

А лечение CureIt'ом как прошло?

[pig]

В порядке бреда - такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ntfs.sys','');
RebootWindows(true);
end.

И пришлите карантин с ntfs.sys, если оно туда попадёт.

[brok3n]

А лечение CureIt'ом как прошло?

Нашёл один passviewer и стандартный набор: пару cru629, пару beep и figaro.sys. Кстати, несмотря на отключённую защиту, Windows попросил вставить установочный диск, я вставил (раньше подобные просьбы игнорировал). Файл beep.sys, вроде бы, не меняется уже несколько перезагрузок — размер вменяемый (около 4 кб), сравнивал с другими компьютерами.

pig
Cкоро выполню. где-то как раз видел, что ntfs.sys был замешан c braviax

Добавлено через 24 минуты

ntfs.sys не попал в карантин.

[Bratez]

Сделайте новый комплект логов.