пойман braviax.exe и сним полезла гадость

[z006]

добрый день.у меня стоин нод 3 версии.вчера при его обновлении с зеркала,мне на комп вместе с файлами обновления затянуло вирус,который генерирует файлы braviax.exe в winnt и system32(у меня 2000 prof).делал по инструкции всё.во-первых фаервол вообще перестал запускаться(outpost),во-вторых AVZ и HiJackThis тоже не запускались.последних двое запустить удалось только с помошью полностью абстрактных переимменовок папок и файлов экзешников.
провёл проверку cureit(который кстати тоже не запускался),он по-убивал много файлов,но вирус всё-равно остался.
из инструкции не могу выполнить 10 пункт,т.к. выдаёт ошибку на 86%.
остальные логи прикрепляю.надеюсь на помошь,ибо не очень хочется форматить винт и ставить винду в чистую.

[Bratez]

Уберите virusinfo_cure.zip и прикрепите вместо него virusinfo_syscure.zip.

[z006]

я бы с удовольствием,но к сожалению это всё,что создаёт программа.она сама так его называет.я надеюсь мне можно помочь?
при том в обоих выполнениях скриптов через AVZ в конце выдаёт ошибку.может по этому нужные файлы и не создаёт?что тогда делать?

[akok]

Попробуйте сделать такой лог

[z006]

так получилось.прикрепил.

[rubin]

Отключите антивирус!
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINNT\system32\drivers\symavc32.sys','');
 QuarantineFile('C:\WINNT\System32\lanmandrv.sys','');
 QuarantineFile('C:\WINNT\System32\Drivers\Beep.SYS','');
 QuarantineFile('C:\WINNT\System32\users32.dat','');
 QuarantineFile('C:\WINNT\System32\Dll.dll','');
 QuarantineFile('c:\winnt\system32\lanmanwrk.exe','');
 QuarantineFile('c:\winnt\system32\kerneldrv.exe','');
 QuarantineFile('c:\winnt\system32\braviax.exe','');
 QuarantineFile('C:\WINNT\System32\_svchost.exe','');
 DeleteFile('C:\WINNT\System32\Dll.dll');
 DeleteFile('C:\WINNT\System32\users32.dat');
 DeleteFile('C:\WINNT\System32\Drivers\Beep.SYS');
 DeleteFile('C:\WINNT\system32\drivers\symavc32.sys');
 DeleteFile('c:\winnt\system32\lanmanwrk.exe');
 DeleteFile('c:\winnt\system32\kerneldrv.exe');
 DeleteFile('c:\winnt\system32\braviax.exe');
 DeleteFile('C:\WINNT\System32\lanmandrv.sys');
 DeleteFile('C:\WINNT\System32\_svchost.exe');
 BC_ImportAll;
 BC_DeleteSvc('symavc32');
 BC_DeleteSvc('lanmandrv');
 BC_DeleteSvc('Beep');
 BC_DeleteSvc('Microsoft Internet Explorer');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18579
2. Повторите логи

[z006]

готово.антивирус и так отключен,а процесс ekrn.exe завершить из менеджера задач не возможно.
зы:логи способом из инструкции так и не создаются.
на сколько моя ситуация была серьёзной и какая сейчас?
я там видел что было предположение на клавиатурного шпиона?это так?

[V_Bond]

Восстановление системы: включено \ отключить ...
все врвги перебиты какие проблемы остались ?

[z006]

проблеммы больше не видны,не считая что в AVZ так логи методом из хелпа не создались.это ничего?
что насчёт шпиона клавиатурного?
мне начинать паниковать и менять все пароли,которые я за эти сутки засветил,или можно не нервничать?
ВСЕМ СПАСИБО ЗА ОПЕРАТИВНУЮ ПОМОШЬ!

[V_Bond]

логи не создались скорее из-за того что вин 2000 ... попробуйте их сделать выполнив предварительно стандартный скрипт №6
пароли лучше поменять ... от греха подальше

[drongo]

вот это поискать: spwm.sys
второй пункт правил и прислать по ссылке http://virusinfo.info/upload_virus.php?tid=18579

[z006]

вот это поискать: spwm.sys

не найден

а можно в этой теме ещё вопросы по-задавать или есть специальная тема для этого?
если что-сорьки,просто ещё не совсем сориентировался тут у вас...

[rubin]

вот это поискать: spwm.sys

Даемон тулз\Алкоголь

а можно в этой теме ещё вопросы по-задавать или есть специальная тема для этого?

Задавайте... если что переадресовать всегда можно

[pig]

Что-то я в логе никаких демонов/алкоголиков не вижу. Остатки застряли? Или C-Dilla на этом же драйвере паразитирует?

[z006]

1)а то что мне когда я нахожусь в интернете постоянно всплывают pop-up окна такого содержания:

Application popup: Messenger Service : Message from FROM to TO on 15.09.2007 23:58:29
STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION.
Windows has found 55 Critical System Errors.
To fix the errors please do the following:
1. Download Registry Update from: www.helpfixpc.com
2. Install Registry Update
3. Run Registry Update
4. Reboot your computer
FAILURE TO ACT NOW MAY LEAD TO SYSTEM FAILURE!

это устраняется только сервис паками и является дыркой самой винды,или это сидит ещё кто и грузит их?
2)откуда мне лучше обновлять нода?т.к. он не лицензия и как я понимаю глупо обновлять с оффсервера.а то теперь что-то не хо оттуда обновляться....

[pig]

1. Это спам через службу сообщений. Выключите её.

[z006]

спасибо огромное!!!!
а что по поводу НОДа?
и ещё вспомнил вопрос:как часто и чем проводить проверку на наличие\отсутствие каких-то гадостей в машине,которые антивирь не увидел?

ребята,вы делаете хорошее дело!
буду читать ваш форум!

[V_Bond]

спасибо огромное!!!!
а что по поводу НОДа?
и ещё вспомнил вопрос:как часто и чем проводить проверку на наличие\отсутствие каких-то гадостей в машине,которые антивирь не увидел? ...

можете поставить сканер от хорошего антивируса например битдефендера (в разделе антивирусы есть ссылки) или переодически использовать Cureit , AvpTool ...