braviax, pc anywhere, cru629 и пр.

Printable View

03.09.2009, 12:32
brok3n

Вложений: 3

braviax, pc anywhere, cru629 и пр.

Здравствуйте.
Подцепил вирус (неизвестно как и где, но не в этом суть), вчера при включении компьютера (Win XP SP2) запустился якобы PC Antispyware с предложением вылечить всю систему. Почуяв подвох, отказался от его предложения, попытался было удалить его и braviax.exe — тщетно, PC Antispyware удаяляется, а braviax.exe неведомым образом восстанавливается. Тогда я вместо braviax.exe в windir и sysdir положил ctfmon.exe с именем "braviax.exe" и атрибутом "только для чтения". braviax, вроде, перестала запускаться, но при каждом запуске системы файл с именем "BNx.tmp" (где х — цифра) просится в сеть, я, естественно, запрещаю это. Почуяв, что дело не чисто, проверил windir с помощью Malwarebytes' Anti-Malware. Было найдена три подозртильных файла: beep.sys (по-моему, в двух экземплярах) и ещё что-то. Удаляю. После перезапуска они восстанавливаются. Попробовал связку SDFix + ComboFix. Программы удалили много подозрительного, но вот после перезапуска всё снова появилось. Пользуюсь 7-м Касперским, он вообще всё пропускал, находя что-то в svchost.exe. Далее в безопасном режиме проверил диск AVPTool. Были удалены 5 вредоносных объектов: cru629.dat (2 шт.), beep.sys (2 шт.), 5-й объект не запомнил. После перезапуска, как обычно, вирусы живут и процветают.
Перед созданием этой темы, как следует по правилам, делал логи (после отключения восстановления системы). После создания [B]virusinfo_syscure.zip[/B] перезапустился... Теперь ко всему ещё добавился PC Antispyware.
03.09.2009, 13:55
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\System32\drivers\23dfaed1.sys','');
QuarantineFile('C:\WINDOWS\system32\wisdstr.exe','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\wisdstr.exe');
DeleteFile('C:\WINDOWS\System32\drivers\23dfaed1.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('vkquwexg');
BC_DeleteSvc('vkquwexg');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=53864[/url]).
Сделайте новые логи.
03.09.2009, 14:11
brok3n

Спасибо за быстрый ответ.
Скрипт выполнил, компьютер перезагрузился, загрузил карантин (Файл сохранён как 090903_141014_virus_4a9f9606b1aec.zip).
Сейчас буду делать новые логи.
03.09.2009, 14:57
brok3n

Вложений: 3

Новые логи. Фейковый PC Antispyware всё ещё есть, активничает.
03.09.2009, 15:14
Bratez

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
O20 - AppInit_DLLs: cru629.dat
[/code]
Не перезагружаясь, сразу после этого выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('cru629.dat','');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\braviax.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
03.09.2009, 15:15
PavelA

Профиксить:
[CODE]O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
O20 - AppInit_DLLs: cru629.dat
[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('cru629.dat');
TerminateProcessByName('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\braviax.exe');
BC_DeleteSvc('Beep');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать новый станд. лог №2
03.09.2009, 16:15
brok3n

Вложений: 1

Если я правильно понял, то станд. лог №2 — это "Скрипт сбора информации для раздела...".
03.09.2009, 16:41
PavelA

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Onlineeye\gmxffcsrv.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','braviax');
DeleteFile('C:\WINDOWS\braviax.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин.
повторить лог.
03.09.2009, 16:54
brok3n

Вложений: 1

При запуске создался файл bn6.tmp, попросил доступ в сеть.
Карантин отправил.
Посматриваю на сетевую активность в Outpost'e: у svchost.exe открыто 50-65 соединений, а тут и wisdstr.exe подоспел, начал что-то активно качать с alertonbgabert.com. Я быстренько заблокировал любую его активность.
03.09.2009, 17:00
Bratez

Опять он вылез, да что ж такое!

Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\braviax.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки еще разок п.2 Диагностики.

Ставьте SP3 и последующие обновления - система дырявая, так до бесконечности лечить будем, не это, так другое.
03.09.2009, 17:05
thyrex

+ к совету [B]Bratez[/B]

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
03.09.2009, 17:12
brok3n

Вложений: 1

Выполнил скрипт, написанный [B]Bratez[/B]. Стоит ли говорить, что после перезагрузки появился BN7.tmp и попросил доступ в сеть.

[B]thyrex[/B]
Выполнил.

SP3 будет скачан через несколько часов. После его установки нужно сделать какие-нибудь логи?
03.09.2009, 17:35
Bratez

agp440.sys - чистый.

Скачайте свежий CureIt и пролечите систему, он должен справиться.
Сделать это лучше всего непосредственно перед установкой SP3.
[url]http://www.freedrweb.com/cureit/[/url]
03.09.2009, 17:49
brok3n

Благодарю, так и сделаю. А восстановление системы включать уже можно? Или это будет бессмысленно - оно зараженные файлы в точки восстановления засунет?..
03.09.2009, 18:01
Bratez

[QUOTE=brok3n;461693]оно зараженные файлы в точки восстановления засунет?..[/QUOTE]
именно!
04.09.2009, 03:10
brok3n

SP3 не устанавливается — установка останавливается где-то на середине.
04.09.2009, 03:15
Bratez

А лечение CureIt'ом как прошло?
04.09.2009, 07:32
pig

В порядке бреда - такой скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ntfs.sys','');
RebootWindows(true);
end.[/code]
И пришлите карантин с ntfs.sys, если оно туда попадёт.
04.09.2009, 11:10
brok3n

[QUOTE=Bratez;461941]А лечение CureIt'ом как прошло?[/QUOTE]
Нашёл один passviewer :> и стандартный набор: пару cru629, пару beep и figaro.sys. Кстати, несмотря на отключённую защиту, Windows попросил вставить установочный диск, я вставил (раньше подобные просьбы игнорировал). Файл beep.sys, вроде бы, не меняется уже несколько перезагрузок — размер вменяемый (около 4 кб), сравнивал с другими компьютерами.

[B]pig[/B]
Cкоро выполню. где-то как раз видел, что ntfs.sys был замешан c braviax :furious3:

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

ntfs.sys не попал в карантин.
04.09.2009, 14:33
Bratez

Сделайте новый комплект логов.
04.09.2009, 16:46
brok3n

[B]Bratez[/B]
Логи чуть позже сделаю.

В течение дня сделал вот что: создал "Касперский live cd", но там у него что-то не срослось с запуском... Я, не унывая, находясь в Live CD, проверил диск CureIt'ом, до этого, удалив вручную braviax, cru629, beep, figaro. CureIt ничего не нашёл. Я создал малюсенькие txt-файлы и соответственно переименовал их во вредоносные объекты (например, файл 1.txt стал braviax.exe), разместил их в тех же местах. Переименовал стандартный regedit (на всякий случай). Пофиксил с помощью hijackthis строчку "O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe". Перезапустился. Больше те вредоносные объекты, о которых мы знали, не появляются, но файлы BN*.tmp продолжают создаваться тем, что мы ищем. Касперский их распознаёт как Backdoor.Win32.UltimateDefender.yo.
04.09.2009, 22:37
brok3n

Вложений: 3

Новые логи.
А ещё заметил такую нехитрую закономерность: новые файлы BN*.tmp создаются после перезагрузке только при подключённом интернете. Если интернет отключен, то папка Temp остаётся девственной (во всяком случае без BN-ов, просящих доступ в интернет).
05.09.2009, 00:37
brok3n

Неведомым образом загрузилась braviax.exe в system32.
Диспетчер задач показывает, что ЦП очень сильно загружают svchost.exe и некие процесс System (это помимо безумного Outpost'a — acs.exe). Сетевая активность svchost.exe из Outpost:
[URL=http://ipicture.ru/Gallery/Viewfull/23232464.html][IMG]http://pic.ipicture.ru/uploads/090905/50790/thumbs/Xia28C07U0.jpg[/IMG][/URL].
svchost.exe в диспетчере задач:
[URL=http://ipicture.ru/Gallery/Viewfull/23232544.html][IMG]http://pic.ipicture.ru/uploads/090905/50790/thumbs/T1TXWsHRCQ.jpg[/IMG][/URL]
05.09.2009, 22:33
thyrex

Нужно найти чистый agp440.sys (Ваш пропатчен) и заменить по данной методике [url]http://virusinfo.info/showthread.php?t=51654[/url]
Пока этого не сделать лечиться придется до бесконечглсти
05.09.2009, 23:50
brok3n

Нашёл чистый agp440.sys, заменил пропатченный, который в 2 раза больше. Теперь BN*.tmp не создаются, а автозапуск regedit.exe в реестре не создаётся. Но победу праздновать рано. Дождусь понедельника, посмотрю на результаты, сделаю новые логи, удалю Outpost, установлю Comodo...
05.09.2009, 23:58
thyrex

[QUOTE='brok3n;462759']Дождусь понедельника, посмотрю на результаты, сделаю новые логи[/QUOTE]Логи сделать обязательно
07.09.2009, 15:49
brok3n

Вложений: 3

Вот новые логи.
Пока ничего подозрительного не происходит: проверки антивирусов заканчиваются безрезультатно-положительно, а в OutPost'e нет ненормальной активности.
Заодно хотелось бы узнать: может поменять Outpost на Comodo? С учётом того, что у меня компьютер почти всё время находится во включенном состоянии, в сети, моей сетевой активности (активная активность :) ) и не самого мощного комьютера сборки 8-летней давности, Comodo удовлетворит меня?
07.09.2009, 15:54
Белый Сокол

В логах ничего зловредного не заметил. Установите SP3, чтобы не стать нашим постоянным клиентом :)
07.09.2009, 20:31
brok3n

Господа помощники, благодарю за помощь!
08.09.2009, 20:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\braviax.exe - [B]Trojan-Downloader.Win32.FraudLoad.fko[/B] ( DrWEB: Trojan.Fakealert.4885, BitDefender: Trojan.Generic.2220697, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan )[*] c:\windows\system32\drivers\beep.sys - [B]Backdoor.Win32.UltimateDefender.igv[/B] ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.5BCCCE32, AVAST4: Win32:FakeAV-NO [Rtk] )[*] c:\windows\system32\wisdstr.exe - [B]not-a-virus:FraudTool.Win32.Agent.wl[/B] ( DrWEB: Trojan.Fakealert.4747, BitDefender: Trojan.FakeAV.RA, NOD32: Win32/TrojanDownloader.FakeAlert.AGO trojan, AVAST4: Win32:Zbot-MAP [Trj] )[/LIST][/LIST]