Показано с 1 по 9 из 9.

Braviax, Buritos и у меня... (заявка № 29435)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57

    Thumbs up Braviax, Buritos и у меня...

    Как я понял, сегодня многие подцепили эту гадость, в том числе и я.
    Всю ночь не спал - читал, качал по диалапу со второго ноута, ибо днём основная машина очень нужна.
    Инфицирование произошло как обычно (КАВ 7.0 на этот раз не спас), и после перезагрузки антивирус оказался заблокирован, зато появилось приглашение установить антивирус получше.
    Зарегился тут, почитал правила.
    AVZ и HijackThis не запускались, но наученый сегодняшни опытом моих коллег по несчастью и благодаря стараниям поддержки скачал версии, которые не блокировались этим монстром.
    Аналогично, постарался выполнить все правила, однако скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" не дорабатывает до конца, программа падает с синим экраном.
    Поэтому аттачу только оставшиеся два файла.

    П.С. После перезагрузки стартует поцесс cmd, который грузит долго проц под 80%, я его через таскмэнеджер убивал, тогда вроде хоть работать можно. Буду благодарен за помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\karina.dat','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\JGFIJMKN.exe','');
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     DeleteService('puosnouw');
     QuarantineFile('puosnouw.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     TerminateProcessByName('c:\windows\msauc.exe');
     QuarantineFile('c:\windows\msauc.exe','');
     TerminateProcessByName('c:\windows\jgfijmkn.exe');
     QuarantineFile('c:\windows\jgfijmkn.exe','');
     TerminateProcessByName('c:\windows\system32\cssrss.exe');
     QuarantineFile('c:\windows\system32\cssrss.exe','');
     QuarantineFile('c:\windows\system32\buritos.exe','');
     DeleteFile('c:\windows\system32\buritos.exe');
     DeleteFile('c:\windows\system32\cssrss.exe');
     DeleteFile('c:\windows\jgfijmkn.exe');
     DeleteFile('c:\windows\msauc.exe');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('puosnouw.sys');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
     DeleteFile('C:\WINDOWS\JGFIJMKN.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\karina.dat');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите каарнтин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Спасибо огромное за помощь!
    Скрипт запустил, в процессе выполнения комп штатно перезагрузился.
    После перезагрузки стало легче - каспер хоть смог стартануть!
    Система радостно отрапортовала, что восстанвлена после серъёзного сбоя. (предварительно я восстановление отключил)
    Хотя сообщение о том, что мой комп заражен, всплыло снова.
    Выгрузил из трея всё, включая Касперского, после чего сформировал карантин. Карантин выслал.
    Запустил выполнение скрипта лечения/карантина и сбора информации для раздела "Помогите!". На этот раз - никаких синих экранов смерти!
    Перезагрузился.
    Запустил выполнение скрипта сбора информации для раздела "Помогите!".
    Создал лог HijackThis.
    Всё приаттачил.
    Вложения Вложения

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKLM\..\Run: [buritos] buritos.exe
    O20 - AppInit_DLLs: karina.dat 
    O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
    Без перезагрузки

    2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\buritos.exe');
     DeleteFile('c:\windows\buritos.exe');
     DeleteFile('C:\WINDOWS\karina.dat');
     RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    Повторите логи с нормальной версией АВЗ.

  6. #5
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Сделал всё, как вы сказали.
    Скрипт выполнился без ошибок.
    После перезагрузки - всё чисто!!!!
    Запустил нормальную, свежеобновлёную AVZ, просканил.
    Всё в аттачах.
    Как я понимаю, остался лишь один подозрительный объект! (но уже другой природы...).
    Прошу прощения за то, что случайно перепутал архивы с карантином. Было создано два архива - один просто virus.zip, а второй - virusinfo_cure.zip. Очевидно, надо было слать virus.zip... Постараюсь быть в будущем внимательнее!
    Спасибо за помощь!
    На будущее - как подобного избежать? IE лучше не пользоваться? Или ставить SP3&
    Вложения Вложения
    Последний раз редактировалось pig; 02.09.2008 в 12:21. Причина: убрал карантин

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Карантин в тему - низзя!!!

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    SP3 конечно не мешает поставить и обновиь верисию ИЕ до 7.

  9. #8
    Junior Member Репутация
    Регистрация
    02.09.2008
    Сообщений
    21
    Вес репутации
    57
    Спасибо огромное за помощь!
    Буду теперь знать, куда обращаться, если что!
    Успехов и удачи!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.vtg (DrWEB: Trojan.DownLoad.4201)
      2. c:\\windows\\jgfijmkn.exe - Backdoor.Win32.Agent.qun (DrWEB: Trojan.Spambot.3541)
      3. c:\\windows\\msauc.exe - Trojan.Win32.Buzus.uxd (DrWEB: Trojan.MulDrop.1865
      4. c:\\windows\\system32\\braviax.exe - Trojan-Downloader.Win32.Agent.aeth (DrWEB: Trojan.Fakealert.1071)
      5. c:\\windows\\system32\\buritos.exe - Trojan-Downloader.Win32.Agent.aeth (DrWEB: Trojan.Fakealert.1071)
      6. c:\\windows\\system32\\cssrss.exe - Backdoor.Win32.Agent.qed (DrWEB: Trojan.DownLoad.4184)
      7. c:\\windows\\system32\\drivers\\beep.sys - Backdoor.Win32.UltimateDefender.a (DrWEB: Trojan.Fakealert.45
      8. c:\\windows\\system32\\karina.dat - Backdoor.Win32.Small.eug (DrWEB: Trojan.Proxy.1739)
      9. c:\\windows\\system32\\mswapi.dll - Trojan-Spy.Win32.Iespy.bbm
      10. c:\\windows\\system32\\userinit.exe - Trojan.Win32.Subster.a (DrWEB: Trojan.PWS.Lich)


  • Уважаемый(ая) Vlad_P, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Все тот-же braviax/buritos
      От Hell'hound в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:57
    2. Braviax и Buritos
      От SlimXoXoL в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.09.2008, 10:48
    3. braviax.exe buritos.exe
      От ficus48 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.09.2008, 16:31
    4. braviax.exe buritos.exe и все все все -)
      От shoosha в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.09.2008, 13:18
    5. braviax.exe buritos.exe помогите
      От mist8r в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.09.2008, 10:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00167 seconds with 18 queries