braviax, pc anywhere, cru629 и пр.

**brok3n** · 04.09.2009, 16:46

Bratez
Логи чуть позже сделаю.

В течение дня сделал вот что: создал "Касперский live cd", но там у него что-то не срослось с запуском... Я, не унывая, находясь в Live CD, проверил диск CureIt'ом, до этого, удалив вручную braviax, cru629, beep, figaro. CureIt ничего не нашёл. Я создал малюсенькие txt-файлы и соответственно переименовал их во вредоносные объекты (например, файл 1.txt стал braviax.exe), разместил их в тех же местах. Переименовал стандартный regedit (на всякий случай). Пофиксил с помощью hijackthis строчку "O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe". Перезапустился. Больше те вредоносные объекты, о которых мы знали, не появляются, но файлы BN*.tmp продолжают создаваться тем, что мы ищем. Касперский их распознаёт как Backdoor.Win32.UltimateDefender.yo.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**brok3n** · 04.09.2009, 22:37

Новые логи.
А ещё заметил такую нехитрую закономерность: новые файлы BN*.tmp создаются после перезагрузке только при подключённом интернете. Если интернет отключен, то папка Temp остаётся девственной (во всяком случае без BN-ов, просящих доступ в интернет).

**brok3n** · 05.09.2009, 00:37

Неведомым образом загрузилась braviax.exe в system32.
Диспетчер задач показывает, что ЦП очень сильно загружают svchost.exe и некие процесс System (это помимо безумного Outpost'a — acs.exe). Сетевая активность svchost.exe из Outpost:

.
svchost.exe в диспетчере задач:

**thyrex** · 05.09.2009, 22:33

Нужно найти чистый agp440.sys (Ваш пропатчен) и заменить по данной методике http://virusinfo.info/showthread.php?t=51654
Пока этого не сделать лечиться придется до бесконечглсти

**brok3n** · 05.09.2009, 23:50

Нашёл чистый agp440.sys, заменил пропатченный, который в 2 раза больше. Теперь BN*.tmp не создаются, а автозапуск regedit.exe в реестре не создаётся. Но победу праздновать рано. Дождусь понедельника, посмотрю на результаты, сделаю новые логи, удалю Outpost, установлю Comodo...

**thyrex** · 05.09.2009, 23:58

Сообщение от brok3n

Дождусь понедельника, посмотрю на результаты, сделаю новые логи

Логи сделать обязательно

**brok3n** · 07.09.2009, 15:49

Вот новые логи.
Пока ничего подозрительного не происходит: проверки антивирусов заканчиваются безрезультатно-положительно, а в OutPost'e нет ненормальной активности.
Заодно хотелось бы узнать: может поменять Outpost на Comodo? С учётом того, что у меня компьютер почти всё время находится во включенном состоянии, в сети, моей сетевой активности (активная активность

) и не самого мощного комьютера сборки 8-летней давности, Comodo удовлетворит меня?

**Белый Сокол** · 07.09.2009, 15:54

В логах ничего зловредного не заметил. Установите SP3, чтобы не стать нашим постоянным клиентом

**brok3n** · 07.09.2009, 20:31

Господа помощники, благодарю за помощь!

**CyberHelper** · 08.09.2009, 20:31

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fko ( DrWEB: Trojan.Fakealert.4885, BitDefender: Trojan.Generic.2220697, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan )
2. c:\windows\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.igv ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.5BCCCE32, AVAST4: Win32:FakeAV-NO [Rtk] )
3. c:\windows\system32\wisdstr.exe - not-a-virus:FraudTool.Win32.Agent.wl ( DrWEB: Trojan.Fakealert.4747, BitDefender: Trojan.FakeAV.RA, NOD32: Win32/TrojanDownloader.FakeAlert.AGO trojan, AVAST4: Win32:Zbot-MAP [Trj] )

braviax, pc anywhere, cru629 и пр. (заявка № 53864)

Опции темы

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

braviax.exe

Braviax!!!!

Braviax..

braviax.

Braviax

Метки для этой темы

Ваши права в разделе