Самоустановившееся и неудаляемое приложение braviax.exe

[Пришелец-13]

Всем доброго времени суток!

Мне понадобились кое-какие данные о произведениях Михаила Веллера. Яндекс выдал адрес его персонального сайта: веллер-точка-ру (адрес убрал, чтобы другие не накололись). Я едва успел переместиться по ссылке и начать знакомство с сайтом, как вдруг монитор мигнул, и началась принудительная перезагрузка. Когда она закончилась, мой NOD 32 выдал сообщение об обнаруженном вирусе braviax.exe. На Рабочем столе "прописался" значок приложения braviax.bat (я его тут же удалил). В системном трее тоже появился новый значок – красный кружок с белым крестиком и английским сообщением о том, что мой компьютер заражен spyware. Далее следовало предложение щелкнуть по значку и загрузить "анти-шпионскую" программу.

Разумеется, щелкать по значку я не стал (уже проходили), а решил справиться с незваным гостем своими силами. Через AVZ нашел файл braviax.exe, удалил его, а также нашел и удалил его ключи в реестре (их было четыре). Перед тем, как делать перезагрузку, через msconfig слазал в "Автозагрузку". Увидел там аж два "самопрописавшихся" braviax.exe, с окошечек которых снял галочки.

Однако после перезагрузки компьютер повел себя довольно странно. Сначала появилось стандартно сообщение об изменении параметров (как всегда, когда что-то убираешь из "Автозагрузки"), затем уже выскочило сообщение Агнитума, как бывает, когда отлючаешь файервол. Сразу после этого началась... повторная перезагрузка, после чего кружок с белым крестиком возник в системном трее снова. Антивирусник сообщил мне о двух троянах, порожденных braviax.exe: figaro.sys и univrs32.dat.

Через Проводник слазал в system 32 и легко нашел там braviax.exe. Но удаляться это приложение не желает. Довольно странно повел себя и антивирусник, запущенный на глубокую проверку: в профиле Mozilla Firefox он нашел трояна, но из всех кнопок активна почему-то была лишь кнопка "Пропустить" (остальные были затенены). Dr Web (CureIt) обнаружил и удалил три других трояна, а упомянутых "не увидел".

Прежде, чем обратиться на форум за помощью, я несколько раз пытался удалить зловредное приложение через AVZ, однако каждый раз повторялся все тот же трюк с двойной перезагрузкой, и оно вместе с ключами "прописывалось" заново.

Буду благодарен за любые рекомендации по изгнанию этого паршивца.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\SSDefrag.sys','');
 QuarantineFile('c:\windows\system32\braviax.exe','');
 DeleteFile('c:\windows\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[Пришелец-13]

Спасибо за быстрый отклик!
Сделал то, что Вы просили. braviax.exe пока еще жив и после выполнения скрипта опять была двойная перезагрузка.

[V_Bond]

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe -Trojan:Win32/Tibs.gen!H
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\tnov.exe');
DeleteFile('c:\windows\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[Пришелец-13]

Паразитное приложение braviax.exe исчезло из трея и из "Автозагрузки". Прилагаю новые логи.

[wise-wistful]

Врагов в логах не видать. Как система?

[Пришелец-13]

Всем большое спасибо за помощь! Система в порядке. Никаких паразитных значков больше не выскакивает. Из "Автозагрузки" все braviax.exe и t-nova исчезли. До сих пор удивляюсь, откуда на, казалось бы, приличном сайте, такие "сюрпризы".

[PavelA]

@Пришелец-13 Убей ссылочку в первом сообщении. Там действительно сидит зверь.

[drongo]

not-a-virus:FraudTool.Win32.UltimateDefender.ev (kaspersky)

вот ещё один урок, не надо ходить под админом в инете и пользоваться надо браузером с отключёнными скриптами по умолчанию

[Пришелец-13]

Ребята, я хоть и не совсем "чайник", но не настолько продвинутый в премудрости борьбы с вирусами. Пожалуйста, подскажите, какую ссылочку убить в первом сообщении? Нужно что, опять выполнить скрипт?

[Гриша]

Нужно просто отредактировать сообщение так,чтобы по ссылке ни кто не смог перейти.

[wise-wistful]

Пришелец-13 оставьте что-то вроде weller.ru и понятно и просто так кликнув не перейдёшь.

[Пришелец-13]

Выполнил просьбу и обезопасил ссылку в изначальном сообщении. Подскажите, пожалуйста, а где нужно отключить исполнение скриптов, чтобы больше не попадать в такие дурацкие состояния?

[Гриша]

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

В этой книге подробно описано как это сделать.

[Пришелец-13]

Мое мнение о программе AVZ и этом форуме – самое положительное. Еще два года назад (тогда у меня был другой ник и другой компьютер) мне здесь помогли выловить одного поганого "червя". А сколько разной дряни я уничтожаю самостоятельно, пользуясь программой Олега Зайцева! До знакомства с нею я мог до посинения выковыривать ключи из реестра; теперь же это происходит за считанные минуты. Форум вызывает искреннее уважение; никакой "тусы", никаких "междусобойчиков" в темах. Я рекомендовал его на всех форумах, где бываю, и всем своим знакомым.

Спасибо за подсказку насчет книги. Обязательно ее скачаю. Прямо сейчас.

[drongo]

Выполнил просьбу и обезопасил ссылку в изначальном сообщении. Подскажите, пожалуйста, а где нужно отключить исполнение скриптов, чтобы больше не попадать в такие дурацкие состояния?

в браузере самое удобное в firefox + noscript : http://virusinfo.info/showthread.php?t=14752
ограниченного пользователя завести надо->во второй части статьи написано как это делать: http://virusinfo.info/showpost.php?p=96895&postcount=1 , тогда большинство зловредов просто не смогут запуститься даже если все остальные средства защиты не сработали.