Показано с 1 по 20 из 20.

Trojan.Virantix.B(braviax.exe и wmiprvse.exe) (заявка № 18610)

  1. #1
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59

    Exclamation Trojan.Virantix.B(braviax.exe и wmiprvse.exe)

    Здравствуйте.
    При открытии сайта cens.ru мигнуло дос окно, а через несколько секунд компьютер перезагрузился. После перезагрузки не открывается большинство программ-защитников(трогательно звучит). Я пока что нашел только эти части вируса:
    C:\WINDOWS\braviax.exe
    C:\WINDOWS\wmiprvse.exe
    C:\WINDOWS\cru629.dat
    C:\WINDOWS\system32\braviax.exe
    C:\WINDOWS\system32\cru629.dat
    C:\WINDOWS\system32\wmiprvse.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe.tmp
    C:\WINDOWS\system32\dllcache\wmiprvse.exe
    C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf
    C:\WINDOWS\prefetch\BRAVIAX.EXE-0B81BFC9.pf
    и эти части в реге:
    "wmiprvse.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709E A-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = wmiprvse.exe
    HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
    "braviax.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\001 = braviax.exe
    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache\C:\WINDOWS\system32\braviax.exe = .
    Обычно на этом этапе знакомства с вирусом я через безопасный режим удаляю все найденные файлы и ключи, после чего либо дохнет вирус, либо виндоз. На этот раз мне дали ссылку на этот форум, и я решил написать сначала сюда.
    Логи вроде сделал правильно, но если что-то не так прошу простить. ;d
    Последний раз редактировалось Radow; 04.03.2008 в 00:08.
    Ушел в себя и заблудился...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\users32.dat','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\users32.dat');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\obvious.sys');
     DeleteFile('C:\DOCUME~1\Radow\LOCALS~1\Temp\catchme.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\system32\cru629.dat');
     DeleteFile('C:\WINDOWS\cru629.dat');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18610).

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O20 - AppInit_DLLs: cru629.dat
    Обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    Выполните скрипт в AVZ... => В конце выполнения скрипта потребовал диск с виндоз для восстановления недостающих файлов, но после перезагрузки угомонился.
    Пришлите карантин согласно приложению 3 правил... => Карантин прислал минут 10 назад, но не уверен, что прислал именно то, что было нужно.
    Пофиксите в HijackThis... => Пофиксил.
    Обновите базы AVZ и сделайте новые логи... => Обновил, все три лога сделал заново.

    После "Скрипта сбора информации для раздела "Помогите" virusinfo.info" тоже надо перезагружаться? И что надо сделать с wmiprvse.exe? Он мелькнул два раза уже в процессах.
    Последний раз редактировалось Radow; 04.03.2008 в 00:08.
    Ушел в себя и заблудился...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах чисто. wmiprvse.exe - системная программа, в логах не фигурирует, значит проходит по базе безопасных.

    Рекомендуется отключить все ненужное из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    Просто до этого вируса я никаких процессов wmiprvse у себя не замечал. В C:\WINDOWS\system32\wbem\ все еще есть файлы wmiprvse.exe и wmiprvse.exe.tmp. Их не удалять(тоже касается braviax.exe в \system32)? Кроме этого остался еще такой мусор в реге:
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\003 = wmiprvse.exe
    HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
    HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603\003 = wmiprvse.exe
    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = braviax.exe
    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\braviax.exe = 
    HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603\002 = braviax.exe
    HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5604\000 = Braviax.exe
    HKEY_USERS\S-1-5-21-1993962763-2111687655-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\braviax.exe =
    что из этого следует удалить, а что - не трогать?
    Рекомендуется отключить все ненужное из этого списка... => Я про это тоже спросить хотел - как все это запретить/выключить? На форуме темы про это есть?
    Ушел в себя и заблудился...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Реестр не трогайте. По списку - скажите, что именно отключить, сделаем скрипт.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    я не знаю что следует отключать, а что нет.. оттуда мне понятен разве что автозапуск прогамм с сд-рома ;d.
    Ушел в себя и заблудился...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  10. #9
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    Ну так я один архив с braviax.exe и cru629.dat уже отправил. А больше вроде ничего нет. Но днем еще раз просканирую как сказано по ссылке и пришлю.. кстате а как вы их открываете? Я попробовал один кусочек через блокнот открыть там наверное процентов 90-95 были просто мусором. Я хочу сказать как самому можно исследовать вирус, чтобы можно было без посторонней помощи их обезвреживать? А то каждый раз после заражения тупо пытаюсь найти инфу в интернете, а потом либо спрашиваю на каком-нить форуме(btw - спасибо вам всем за такую профессиональную помощь) либо сразу начинаю удалять что нашел . А если в один прекрасный день останусь с хорошим и пушистым вирусом на руках без интернета? Я не хочу кормить его слишком много от этого он может лопнуть и умереть(((
    из карантин-файла удалил ехе-шники антивирусов.. с ними 16мб получалось
    Последний раз редактировалось Radow; 26.02.2008 в 11:44.
    Ушел в себя и заблудился...

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Ну так я один архив с braviax.exe и cru629.dat уже отправил
    Одно дело карантин зверей, другое - сбор безопасных файлов. Читайте по ссылке
    Я хочу сказать как самому можно исследовать вирус
    http://ru.wikipedia.org/wiki/Дизассемблер

    Мы их сами не изучаем, а пересылаем в ВирЛаб вирусным аналитикам...

    А если в один прекрасный день останусь с хорошим и пушистым вирусом на руках без интернета?
    Обратитесь с компьютера друга...

    Да и книжку почитайте - пригодится

  12. #11
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    Одно дело карантин зверей, другое - сбор безопасных файлов.
    через сбор я тоже переслал все что было.. хотя по имхе так там вообще ничего не было только файлы из других анти* программ.
    Обратитесь с компьютера друга...
    я имел ввиду если наступит конец света, весь интернет рухнет, а я найду компьютер на котором будет много хорошей информации, которая могла бы мне помочь отвлечься от мыслей о суициде. Но я не могу воспользоваться ею т.к. на компе сидит вирус и жутко все тормозит
    а книгу я уже скачал - завтра начну читать.. сегодня что-то больше на статьи тянет.
    Ушел в себя и заблудился...

  13. #12
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    У меня в последнее время полностью сдох дайл-ап. Я сначала думал, что его специально отключили из-за событий после выборов, но у друга все нормально пашет. А в процессах висят сразу два network сервиса svchost.exe. Я один из них отключил - все вроде заработало, но все равно хз вирус это или я что-то не то поотключал из процессов потому свц и свихнулся . Проверьте пож. может все-таки еще один вирус сидит где-нить? А если вируса нет.. как мне все исправить?
    Последний раз редактировалось Radow; 15.08.2008 в 18:17.
    Ушел в себя и заблудился...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах ничего подозрительного.
    А что происходит при попытке подключиться?
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    На стадии регистрации компьютера в сети подключение тупит где-то пол минуты(если в это время убить свц, который жрет 3к+- памяти соединение сразу устанавливается), а после подключение не открываются сайты.. даже магент не может подключится.
    Хотя сегодня я кажется смог нормально подключиться не убивая 2ой свц.
    Ушел в себя и заблудился...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Откройте в свойствах подключения вкладку "Сеть" и посмотрите список компонент, на каких стоят галки. Должна быть только на TCP/IP. Если есть компонент от антивируса, на нем тоже. Остальные галки снимите.

    2. Попробуйте эту программу:
    http://www.tksinc.us/downloads/WinsockXPFix.exe.
    Запустить и нажать Fix, только предварительно запишите натройки подключений, она их сбрасывает, потом введите обратно.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    кроме TCP/IP галка есть только рядом с "QoS Packet Scheduler" и она не снимается. Программку юзнул вроде все норм - второй нэт-свц теперь ест 1к вместо трех
    только я хз стоит ли снова отключать ненужные\опасные сервисы или из-за этого может снова все пойти наперекосяк?
    Ушел в себя и заблудился...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот вам скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    (оставил автозапуск CD и анонимный доступ для локалки).
    Наперекосяк ничего не пойдет.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    24.02.2008
    Сообщений
    33
    Вес репутации
    59
    так мало? а я штук 15 поотрубал даже ключ экспортнул. спасибо, сейчас сделаю..
    Ушел в себя и заблудился...

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Radow Посмотреть сообщение
    так мало? а я штук 15 поотрубал
    Ну если брать не только те, что AVZ определяет как "потенциально опасные", то можно и 15, особенно если локалки нет .
    I am not young enough to know everything...

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Sasfis.xjd ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABU, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system32\wmisrvc.exe - Trojan.Win32.Buzus.ctbk ( DrWEB: Trojan.MulDrop.52131, BitDefender: Trojan.Agent.ANZV, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:VB-NYP [Drp] )
      3. d:\gamez\dodik\hon.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )


  • Уважаемый(ая) Radow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. trojan-downloader braviax.exe
      От Carbon в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 08:47
    2. Trojan Pandex + Virantix.C
      От Zik0 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 07:58
    3. Blusod, Pandex, Virantix - все сразу
      От link2k в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:51
    4. Похоже поймал Trojan.Virantix.C
      От Web-Silver в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:44
    5. wmiprvse.exe тот или нет?
      От dys4ry в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.12.2008, 20:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01454 seconds with 19 queries