Показано с 1 по 8 из 8.

Вирус (подозрение на Braviax) (заявка № 24202)

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    4
    Вес репутации
    35

    Exclamation Вирус (подозрение на Braviax)

    Знакомые попросили почистить машину так как антивирус не справляется.
    На месте стало ясно что стоит НОД32, детектит C:\WINDOWS\system32\cru629.dat прописанный в APPInit_Dlls но снести никак не может. Попытки убийста руками ничего не дают даже через отложенное удаление файла - сносится но после ребута снова появляется.
    Удаление ключа ничего не даёт, через секунду он снова прописывается в реестре.
    В ходе дальнейшего колупания был обнаружен второй ключ с аналогичным поведением - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    "System"="kdptr.exe"
    Подобный файл в системе не найден.
    Через Regmon (http://technet.microsoft.com/en-us/s.../bb896652.aspx) стал смотреть кто перепрописывает ключи в реестр
    и был удивлён увидев что засветились в этом почти все процессы

    0.37803492 winlogon.exe:356 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    0.83319306 ekrn.exe:1008 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    1.08114409 lsass.exe:424 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    1.09676456 services.exe:412 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    2.09677911 spoolsv.exe:880 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    2.55000854 Opera.exe:1824 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    2.97180748 svchost.exe:1080 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    3.51868486 svchost.exe:628 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    3.94061637 mdm.exe:1428 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    4.28445292 Regmon.exe:188 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    4.87814379 svchost.exe:600 SetValue HKLM\software\microsoft\windows nt\currentversion\windows\appinit_dlls SUCCESS "C:\WINDOWS\system32\cru629.dat"
    Прилагаю логи AVZ и HijackThis

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    4
    Вес репутации
    35
    Логи (почему то не прикрепились сразу )
    Вложения Вложения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('kdptr.exe','');
     QuarantineFile('c:\lmdwec.exe','');
     QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
     DeleteFile('C:\WINDOWS\system32\cru629.dat');
     DeleteFile('C:\WINDOWS\system32\kdptr.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C4JE0Z3D\avupbzyxf[1].htm');
     SysCleanAddFile('kdptr.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24202 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Сделайте новые логи.
    Windows Вам нужно обновить.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    4
    Вес репутации
    35
    После скрипта и ребута сдуру в эксплорере зашёл в папку карантина AVZ и НОД снёс cru629.dat что был на карантине :/
    Карантин kdptr.exe залил по ссылке.
    lmdwec.exe отсутствует на дисках и в карантине.
    Проблемы пофиксил.

    Обновление Винды это отдельная тема - даёт ошибку 0x80072EE7.
    Пытался фиксить согласно http://support.microsoft.com/?kbid=836941
    Ни один из советуемых способов не помог - на компе нету файрвола кроме родного виндового, акселераторы не стоят, ни правка HOSTS ни добавление сайтов апдейта в траст зону, ни очистка записей о прокси (да и неиспользавался прокси сервер).

  6. #5
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    4
    Вес репутации
    35
    Новые логи.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Почему система не патченная?
    Очистите ПК (см. соотв. ссылку в моей подписи)
    Пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{960EB588-824E-46A1-B68E-70BB6A19C6E3}: NameServer = 85.255.114.78,85.255.112.120
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\lmdwec.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VT1QGMHE\rzljeqykwh[1].htm','');
     QuarantineFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\4EIT91NA\Install[1].exe','');
     QuarantineFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[2].exe','');
     QuarantineFile('C:\Program Files\SPSS\ProductRegistration.exe','');
     QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
     DeleteFile('C:\WINDOWS\system32\winivstr.exe');
     DeleteFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[2].exe');
     DeleteFile('C:\Documents and Settings\Сиренко Юрий\Local Settings\Temporary Internet Files\Content.IE5\63Y56VI7\Install[1].exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VT1QGMHE\rzljeqykwh[1].htm');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\N409TELU\dsuper[1].htm');
     DeleteFile('c:\lmdwec.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки закачайте карантин по красной ссылке вверху темы, повторите 3 лога.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    kdptr.exe - Trojan.Win32.DNSChanger.edk

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\kdptr.exe - Trojan.Win32.DNSChanger.edk (DrWEB: Trojan.Virtumod.based.14)


  • Уважаемый(ая) Whistler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. braviax.exe
      От velestmn в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.08.2009, 08:08
    2. Braviax!!!!
      От arkannnsk в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:51
    3. Braviax...Help
      От Jolly в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 07:09
    4. Braviax..
      От Nidhogg в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 04:21
    5. braviax.
      От albert629 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00972 seconds with 17 queries