Trojan.Virantix.B(braviax.exe и wmiprvse.exe)

Здравствуйте.
При открытии сайта cens.ru мигнуло дос окно, а через несколько секунд компьютер перезагрузился. После перезагрузки не открывается большинство программ-защитников(трогательно звучит:D). Я пока что нашел только эти части вируса:
C:\WINDOWS\braviax.exe
C:\WINDOWS\wmiprvse.exe
C:\WINDOWS\cru629.dat
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\cru629.dat
C:\WINDOWS\system32\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe.tmp
C:\WINDOWS\system32\dllcache\wmiprvse.exe
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf
C:\WINDOWS\prefetch\BRAVIAX.EXE-0B81BFC9.pf
и эти части в реге:
"wmiprvse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = wmiprvse.exe
HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
"braviax.exe"
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\001 = braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\braviax.exe = .
Обычно на этом этапе знакомства с вирусом я через безопасный режим удаляю все найденные файлы и ключи, после чего либо дохнет вирус, либо виндоз. :) На этот раз мне дали ссылку на этот форум, и я решил написать сначала сюда.
Логи вроде сделал правильно, но если что-то не так прошу простить. ;d

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\system32\DRIVERS\obvious.sys');
DeleteFile('C:\DOCUME~1\Radow\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18610[/url]).

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - AppInit_DLLs: cru629.dat
[/code]
Обновите базы AVZ и сделайте новые логи.

[B]Выполните скрипт в AVZ...[/B] => В конце выполнения скрипта потребовал диск с виндоз для восстановления недостающих файлов, но после перезагрузки угомонился.
[B]Пришлите карантин согласно приложению 3 правил...[/B] => Карантин прислал минут 10 назад, но не уверен, что прислал именно то, что было нужно.
[B]Пофиксите в HijackThis...[/B] => Пофиксил.
[B]Обновите базы AVZ и сделайте новые логи...[/B] => Обновил, все три лога сделал заново.

После "Скрипта сбора информации для раздела "Помогите" virusinfo.info" тоже надо перезагружаться? И что надо сделать с wmiprvse.exe? Он мелькнул два раза уже в процессах.

В логах чисто. wmiprvse.exe - системная программа, в логах не фигурирует, значит проходит по базе безопасных.

Рекомендуется отключить все ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

Просто до этого вируса я никаких процессов wmiprvse у себя не замечал. В C:\WINDOWS\system32\wbem\ все еще есть файлы wmiprvse.exe и wmiprvse.exe.tmp. Их не удалять(тоже касается braviax.exe в \system32)? Кроме этого остался еще такой мусор в реге:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\003 = wmiprvse.exe
HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603\003 = wmiprvse.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\braviax.exe =
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603\002 = braviax.exe
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\braviax.exe =[/CODE]
что из этого следует удалить, а что - не трогать?
[B]Рекомендуется отключить все ненужное из этого списка...[/B] => Я про это тоже спросить хотел - как все это запретить/выключить? На форуме темы про это есть?

Реестр не трогайте. По списку - скажите, что именно отключить, сделаем скрипт.

я не знаю что следует отключать, а что нет.. оттуда мне понятен разве что автозапуск прогамм с сд-рома ;d.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

Ну так я один архив с braviax.exe и cru629.dat уже отправил. А больше вроде ничего нет. Но днем еще раз просканирую как сказано по ссылке и пришлю.. кстате а как вы их открываете? Я попробовал один кусочек через блокнот открыть там наверное процентов 90-95 были просто мусором. Я хочу сказать как самому можно исследовать вирус, чтобы можно было без посторонней помощи их обезвреживать? А то каждый раз после заражения тупо пытаюсь найти инфу в интернете, а потом либо спрашиваю на каком-нить форуме(btw - спасибо вам всем за такую профессиональную помощь) либо сразу начинаю удалять что нашел :). А если в один прекрасный день останусь с хорошим и пушистым вирусом на руках без интернета? Я не хочу кормить его слишком много :( от этого он может лопнуть и умереть(((
из карантин-файла удалил ехе-шники антивирусов.. с ними 16мб получалось

[quote]Ну так я один архив с braviax.exe и cru629.dat уже отправил[/quote]
Одно дело карантин зверей, другое - сбор безопасных файлов. Читайте по ссылке ;)
[quote]Я хочу сказать как самому можно исследовать вирус[/quote]
[url]http://ru.wikipedia.org/wiki/Дизассемблер[/url]

Мы их сами не изучаем, а пересылаем в ВирЛаб вирусным аналитикам...

[quote]А если в один прекрасный день останусь с хорошим и пушистым вирусом на руках без интернета?[/quote]
Обратитесь с компьютера друга...

Да и книжку почитайте - пригодится ;)

[QUOTE]Одно дело карантин зверей, другое - сбор безопасных файлов.[/QUOTE]
через сбор я тоже переслал все что было.. хотя по имхе так там вообще ничего не было :) только файлы из других анти* программ.
[QUOTE]Обратитесь с компьютера друга...[/QUOTE]
я имел ввиду если наступит конец света, весь интернет рухнет, а я найду компьютер на котором будет много хорошей информации, которая могла бы мне помочь отвлечься от мыслей о суициде. Но я не могу воспользоваться ею т.к. на компе сидит вирус и жутко все тормозит ;)
а книгу я уже скачал - завтра начну читать.. сегодня что-то больше на статьи тянет.

У меня в последнее время полностью сдох дайл-ап. Я сначала думал, что его специально отключили из-за событий после выборов, но у друга все нормально пашет. А в процессах висят сразу два network сервиса svchost.exe. Я один из них отключил - все вроде заработало, но все равно хз вирус это или я что-то не то поотключал из процессов потому свц и свихнулся :). Проверьте пож. может все-таки еще один вирус сидит где-нить? А если вируса нет.. как мне все исправить?

В логах ничего подозрительного.
А что происходит при попытке подключиться?

На стадии регистрации компьютера в сети подключение тупит где-то пол минуты(если в это время убить свц, который жрет 3к+- памяти соединение сразу устанавливается), а после подключение не открываются сайты.. даже магент не может подключится.
Хотя сегодня я кажется смог нормально подключиться не убивая 2ой свц.

1. Откройте в свойствах подключения вкладку "Сеть" и посмотрите список компонент, на каких стоят галки. Должна быть только на TCP/IP. Если есть компонент от антивируса, на нем тоже. Остальные галки снимите.

2. Попробуйте эту программу:
[url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url].
Запустить и нажать [b]Fix[/b], только предварительно запишите натройки подключений, она их сбрасывает, потом введите обратно.

кроме TCP/IP галка есть только рядом с "QoS Packet Scheduler" и она не снимается. Программку юзнул вроде все норм - второй нэт-свц теперь ест 1к вместо трех :)
только я хз стоит ли снова отключать ненужные\опасные сервисы или из-за этого может снова все пойти наперекосяк?

Вот вам скрипт для отключения ненужного:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
(оставил автозапуск CD и анонимный доступ для локалки).
Наперекосяк ничего не пойдет.

так мало? а я штук 15 поотрубал :D даже ключ экспортнул. спасибо, сейчас сделаю..

[quote=Radow;199109]так мало? а я штук 15 поотрубал [/quote]
Ну если брать не только те, что AVZ определяет как "потенциально опасные", то можно и 15, особенно если локалки нет :P.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Sasfis.xjd[/B] ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABU, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\wmisrvc.exe - [B]Trojan.Win32.Buzus.ctbk[/B] ( DrWEB: Trojan.MulDrop.52131, BitDefender: Trojan.Agent.ANZV, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:VB-NYP [Drp] )[*] d:\gamez\dodik\hon.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )[/LIST][/LIST]