-
Junior Member
- Вес репутации
- 59
Trojan.Virantix.B(braviax.exe и wmiprvse.exe)
Здравствуйте.
При открытии сайта cens.ru мигнуло дос окно, а через несколько секунд компьютер перезагрузился. После перезагрузки не открывается большинство программ-защитников(трогательно звучит). Я пока что нашел только эти части вируса:
C:\WINDOWS\braviax.exe
C:\WINDOWS\wmiprvse.exe
C:\WINDOWS\cru629.dat
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\cru629.dat
C:\WINDOWS\system32\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe.tmp
C:\WINDOWS\system32\dllcache\wmiprvse.exe
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf
C:\WINDOWS\prefetch\BRAVIAX.EXE-0B81BFC9.pf
и эти части в реге:
"wmiprvse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709E A-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = wmiprvse.exe
HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
"braviax.exe"
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\001 = braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache\C:\WINDOWS\system32\braviax.exe = .
Обычно на этом этапе знакомства с вирусом я через безопасный режим удаляю все найденные файлы и ключи, после чего либо дохнет вирус, либо виндоз. На этот раз мне дали ссылку на этот форум, и я решил написать сначала сюда.
Логи вроде сделал правильно, но если что-то не так прошу простить. ;d
Последний раз редактировалось Radow; 04.03.2008 в 00:08.
Ушел в себя и заблудился...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\system32\DRIVERS\obvious.sys');
DeleteFile('C:\DOCUME~1\Radow\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18610).
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - AppInit_DLLs: cru629.dat
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Выполните скрипт в AVZ... => В конце выполнения скрипта потребовал диск с виндоз для восстановления недостающих файлов, но после перезагрузки угомонился.
Пришлите карантин согласно приложению 3 правил... => Карантин прислал минут 10 назад, но не уверен, что прислал именно то, что было нужно.
Пофиксите в HijackThis... => Пофиксил.
Обновите базы AVZ и сделайте новые логи... => Обновил, все три лога сделал заново.
После "Скрипта сбора информации для раздела "Помогите" virusinfo.info" тоже надо перезагружаться? И что надо сделать с wmiprvse.exe? Он мелькнул два раза уже в процессах.
Последний раз редактировалось Radow; 04.03.2008 в 00:08.
Ушел в себя и заблудился...
-
В логах чисто. wmiprvse.exe - системная программа, в логах не фигурирует, значит проходит по базе безопасных.
Рекомендуется отключить все ненужное из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Просто до этого вируса я никаких процессов wmiprvse у себя не замечал. В C:\WINDOWS\system32\wbem\ все еще есть файлы wmiprvse.exe и wmiprvse.exe.tmp. Их не удалять(тоже касается braviax.exe в \system32)? Кроме этого остался еще такой мусор в реге:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\003 = wmiprvse.exe
HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603\003 = wmiprvse.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\braviax.exe =
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603\002 = braviax.exe
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\braviax.exe =
что из этого следует удалить, а что - не трогать?
Рекомендуется отключить все ненужное из этого списка... => Я про это тоже спросить хотел - как все это запретить/выключить? На форуме темы про это есть?
Ушел в себя и заблудился...
-
Реестр не трогайте. По списку - скажите, что именно отключить, сделаем скрипт.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
я не знаю что следует отключать, а что нет.. оттуда мне понятен разве что автозапуск прогамм с сд-рома ;d.
Ушел в себя и заблудился...
-
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-
-
Junior Member
- Вес репутации
- 59
Ну так я один архив с braviax.exe и cru629.dat уже отправил. А больше вроде ничего нет. Но днем еще раз просканирую как сказано по ссылке и пришлю.. кстате а как вы их открываете? Я попробовал один кусочек через блокнот открыть там наверное процентов 90-95 были просто мусором. Я хочу сказать как самому можно исследовать вирус, чтобы можно было без посторонней помощи их обезвреживать? А то каждый раз после заражения тупо пытаюсь найти инфу в интернете, а потом либо спрашиваю на каком-нить форуме(btw - спасибо вам всем за такую профессиональную помощь) либо сразу начинаю удалять что нашел . А если в один прекрасный день останусь с хорошим и пушистым вирусом на руках без интернета? Я не хочу кормить его слишком много от этого он может лопнуть и умереть(((
из карантин-файла удалил ехе-шники антивирусов.. с ними 16мб получалось
Последний раз редактировалось Radow; 26.02.2008 в 11:44.
Ушел в себя и заблудился...
-
Ну так я один архив с braviax.exe и cru629.dat уже отправил
Одно дело карантин зверей, другое - сбор безопасных файлов. Читайте по ссылке
Я хочу сказать как самому можно исследовать вирус
http://ru.wikipedia.org/wiki/Дизассемблер
Мы их сами не изучаем, а пересылаем в ВирЛаб вирусным аналитикам...
А если в один прекрасный день останусь с хорошим и пушистым вирусом на руках без интернета?
Обратитесь с компьютера друга...
Да и книжку почитайте - пригодится
-
-
Junior Member
- Вес репутации
- 59
Одно дело карантин зверей, другое - сбор безопасных файлов.
через сбор я тоже переслал все что было.. хотя по имхе так там вообще ничего не было только файлы из других анти* программ.
Обратитесь с компьютера друга...
я имел ввиду если наступит конец света, весь интернет рухнет, а я найду компьютер на котором будет много хорошей информации, которая могла бы мне помочь отвлечься от мыслей о суициде. Но я не могу воспользоваться ею т.к. на компе сидит вирус и жутко все тормозит
а книгу я уже скачал - завтра начну читать.. сегодня что-то больше на статьи тянет.
Ушел в себя и заблудился...
-
Junior Member
- Вес репутации
- 59
У меня в последнее время полностью сдох дайл-ап. Я сначала думал, что его специально отключили из-за событий после выборов, но у друга все нормально пашет. А в процессах висят сразу два network сервиса svchost.exe. Я один из них отключил - все вроде заработало, но все равно хз вирус это или я что-то не то поотключал из процессов потому свц и свихнулся . Проверьте пож. может все-таки еще один вирус сидит где-нить? А если вируса нет.. как мне все исправить?
Последний раз редактировалось Radow; 15.08.2008 в 18:17.
Ушел в себя и заблудился...
-
В логах ничего подозрительного.
А что происходит при попытке подключиться?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
На стадии регистрации компьютера в сети подключение тупит где-то пол минуты(если в это время убить свц, который жрет 3к+- памяти соединение сразу устанавливается), а после подключение не открываются сайты.. даже магент не может подключится.
Хотя сегодня я кажется смог нормально подключиться не убивая 2ой свц.
Ушел в себя и заблудился...
-
1. Откройте в свойствах подключения вкладку "Сеть" и посмотрите список компонент, на каких стоят галки. Должна быть только на TCP/IP. Если есть компонент от антивируса, на нем тоже. Остальные галки снимите.
2. Попробуйте эту программу:
http://www.tksinc.us/downloads/WinsockXPFix.exe.
Запустить и нажать Fix, только предварительно запишите натройки подключений, она их сбрасывает, потом введите обратно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
кроме TCP/IP галка есть только рядом с "QoS Packet Scheduler" и она не снимается. Программку юзнул вроде все норм - второй нэт-свц теперь ест 1к вместо трех
только я хз стоит ли снова отключать ненужные\опасные сервисы или из-за этого может снова все пойти наперекосяк?
Ушел в себя и заблудился...
-
Вот вам скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
(оставил автозапуск CD и анонимный доступ для локалки).
Наперекосяк ничего не пойдет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
так мало? а я штук 15 поотрубал даже ключ экспортнул. спасибо, сейчас сделаю..
Ушел в себя и заблудился...
-
Сообщение от
Radow
так мало? а я штук 15 поотрубал
Ну если брать не только те, что AVZ определяет как "потенциально опасные", то можно и 15, особенно если локалки нет .
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Sasfis.xjd ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABU, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\wmisrvc.exe - Trojan.Win32.Buzus.ctbk ( DrWEB: Trojan.MulDrop.52131, BitDefender: Trojan.Agent.ANZV, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:VB-NYP [Drp] )
- d:\gamez\dodik\hon.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
-