-
Junior Member
- Вес репутации
- 60
Trojan.Proxy.1739
Постоянно перегружается ПК (сразу после загрузки). Постоянно появляются файлы cru629.dat, braviax.exe, Beep.sys (после удаления в безопасном режиме). После "удачной" загрузке в обычном режиме , путем нажатия постоянно Ctrl Alt Del и успевания удаления нескольких процессов svchost.exe, в system32 появляетя файл users32.dat, которого ловит и прибивает DrWeb (Trojan.Click.5043).
В файле Beep.sys следущая тестовая информация:
\SystemRoot\system32\cru629.dat
\SystemRoot\cru629.dat
\SystemRoot\system32\braviax.exe
\SystemRoot\braviax.exe
\Device\Beep braviax braviax.exe
\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Windows Appinit_dlls cru629.dat
braviax.exe svchost.exe csrss.exe smss.exe
\Registry\Machine\Software\Microsoft\Windows\Curre ntVersion\Run winlogon.exe
После удаления в безопасном режиме файлов cru629.dat, braviax.exe, Beep.sys (фала users32.dat в безопасном режиме нет) и очистке рееста все повторяется сначала.
Вот логи, полученные при одной из "удачных" загрузок:
Последний раз редактировалось DAV; 10.06.2008 в 17:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\braviax.exe','');
QuarantineFile('C:\Program Files\PViever\pviever.exe','');
QuarantineFile('C:\WINNT\system32\cru629.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ytaz.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\19099984.exe','');
QuarantineFile('C:\WINNT\System32\Drivers\Beep.SYS','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\19099984.exe');
BC_DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\19099984.exe');
DeleteFile('C:\WINNT\system32\cru629.dat');
BC_DeleteFile('C:\WINNT\system32\cru629.dat');
DeleteFile('C:\Program Files\PViever\pviever.exe');
BC_DeleteFile('C:\Program Files\PViever\pviever.exe');
DeleteFile('C:\WINNT\system32\braviax.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин согласно приложения 3 правил
Профиксите
Код:
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
-
Junior Member
- Вес репутации
- 60
Карантин отослал.
Профиксил.
ПК все равно перезагружается...
-
C:\WINNT\system32\braviax.exe - not-a-virus:AdWare.Win32.Agent.zo, C:\WINNT\system32\cru629.dat -Backdoor.Win32.Small.cvj
pviever.exe поищите при помощи АВЗ сервис--поиск файлов на диске, если найдётся, тогда пришлите по правилам.
Добавлено через 6 минут
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ytaz.exe - not-a-virus:FraudTool.Win32.UltimateDefender.az C:\WINNT\System32\Drivers\Beep.SYS - not-a-virus:FraudTool.Win32.UltimateDefender.az
ВЫполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ytaz.exe','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\19099984.exe');
BC_DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\19099984.exe');
DeleteFile('C:\WINNT\system32\cru629.dat');
BC_DeleteFile('C:\WINNT\system32\cru629.dat');
DeleteFile('C:\Program Files\PViever\pviever.exe');
BC_DeleteFile('C:\Program Files\PViever\pviever.exe');
DeleteFile('C:\WINNT\system32\braviax.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ytaz.exe','');
BC_DeleteFile('C:\WINNT\System32\Drivers\Beep.SYS','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи
Последний раз редактировалось wise-wistful; 20.02.2008 в 14:38.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 60
Огромное спасибо.
Все грабли оказались в файле ytaz.exe, который я не заметил...
После выполнения последнего скрипта перезагрузки перестали.
Файлы cru629.dat, braviax.exe, Beep.sys не появляются.
-
Логи то новые давайте, гляним что там.