Самоустановившееся и неудаляемое приложение braviax.exe

Всем доброго времени суток!

Мне понадобились кое-какие данные о произведениях Михаила Веллера. Яндекс выдал адрес его персонального сайта: веллер-точка-ру (адрес убрал, чтобы другие не накололись). Я едва успел переместиться по ссылке и начать знакомство с сайтом, как вдруг монитор мигнул, и началась принудительная перезагрузка. Когда она закончилась, мой NOD 32 выдал сообщение об обнаруженном вирусе braviax.exe. На Рабочем столе "прописался" значок приложения braviax.bat (я его тут же удалил). В системном трее тоже появился новый значок – красный кружок с белым крестиком и английским сообщением о том, что мой компьютер заражен spyware. Далее следовало предложение щелкнуть по значку и загрузить "анти-шпионскую" программу.

Разумеется, щелкать по значку я не стал (уже проходили), а решил справиться с незваным гостем своими силами. Через AVZ нашел файл braviax.exe, удалил его, а также нашел и удалил его ключи в реестре (их было четыре). Перед тем, как делать перезагрузку, через msconfig слазал в "Автозагрузку". Увидел там аж два "самопрописавшихся" braviax.exe, с окошечек которых снял галочки.

Однако после перезагрузки компьютер повел себя довольно странно. Сначала появилось стандартно сообщение об изменении параметров (как всегда, когда что-то убираешь из "Автозагрузки"), затем уже выскочило сообщение Агнитума, как бывает, когда отлючаешь файервол. Сразу после этого началась... повторная перезагрузка, после чего кружок с белым крестиком возник в системном трее снова. Антивирусник сообщил мне о двух троянах, порожденных braviax.exe: figaro.sys и univrs32.dat.

Через Проводник слазал в system 32 и легко нашел там braviax.exe. Но удаляться это приложение не желает. Довольно странно повел себя и антивирусник, запущенный на глубокую проверку: в профиле Mozilla Firefox он нашел трояна, но из всех кнопок активна почему-то была лишь кнопка "Пропустить" (остальные были затенены). Dr Web (CureIt) обнаружил и удалил три других трояна, а упомянутых "не увидел".

Прежде, чем обратиться на форум за помощью, я несколько раз пытался удалить зловредное приложение через AVZ, однако каждый раз повторялся все тот же трюк с двойной перезагрузкой, и оно вместе с ключами "прописывалось" заново.

Буду благодарен за любые рекомендации по изгнанию этого паршивца.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\SSDefrag.sys','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....

Спасибо за быстрый отклик!
Сделал то, что Вы просили. braviax.exe пока еще жив и после выполнения скрипта опять была двойная перезагрузка.

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe -[B]Trojan:Win32/Tibs.gen!H[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe');
DeleteFile('c:\windows\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

Паразитное приложение braviax.exe исчезло из трея и из "Автозагрузки". Прилагаю новые логи.

Врагов в логах не видать. Как система?

Всем большое спасибо за помощь! Система в порядке. Никаких паразитных значков больше не выскакивает. Из "Автозагрузки" все braviax.exe и t-nova исчезли. До сих пор удивляюсь, откуда на, казалось бы, приличном сайте, такие "сюрпризы".

@Пришелец-13 Убей ссылочку в первом сообщении. Там действительно сидит зверь.

not-a-virus:FraudTool.Win32.UltimateDefender.ev (kaspersky)

вот ещё один урок, не надо ходить под админом в инете ;)и пользоваться надо браузером с отключёнными скриптами по умолчанию ;)

Ребята, я хоть и не совсем "чайник", но не настолько продвинутый в премудрости борьбы с вирусами. Пожалуйста, подскажите, какую ссылочку убить в первом сообщении? Нужно что, опять выполнить скрипт?

Нужно просто отредактировать сообщение так,чтобы по ссылке ни кто не смог перейти.

[b]Пришелец-13[/b] оставьте что-то вроде weller.ru и понятно и просто так кликнув не перейдёшь.

Выполнил просьбу и обезопасил ссылку в изначальном сообщении. Подскажите, пожалуйста, а где нужно отключить исполнение скриптов, чтобы больше не попадать в такие дурацкие состояния?

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".

В этой книге подробно описано как это сделать.

Мое мнение о программе AVZ и этом форуме – самое положительное. Еще два года назад (тогда у меня был другой ник и другой компьютер) мне здесь помогли выловить одного поганого "червя". А сколько разной дряни я уничтожаю самостоятельно, пользуясь программой Олега Зайцева! До знакомства с нею я мог до посинения выковыривать ключи из реестра; теперь же это происходит за считанные минуты. Форум вызывает искреннее уважение; никакой "тусы", никаких "междусобойчиков" в темах. Я рекомендовал его на всех форумах, где бываю, и всем своим знакомым.

Спасибо за подсказку насчет книги. Обязательно ее скачаю. Прямо сейчас.

[quote=Пришелец-13;215274]Выполнил просьбу и обезопасил ссылку в изначальном сообщении. Подскажите, пожалуйста, а где нужно отключить исполнение скриптов, чтобы больше не попадать в такие дурацкие состояния?[/quote]

в браузере ;) самое удобное в firefox + noscript : [url]http://virusinfo.info/showthread.php?t=14752[/url]
ограниченного пользователя завести надо->во второй части статьи написано как это делать: [url]http://virusinfo.info/showpost.php?p=96895&postcount=1[/url] , тогда большинство зловредов просто не смогут запуститься даже если все остальные средства защиты не сработали.