Показано с 1 по 12 из 12.

Вероятная разновидность braviax (заявка № 52031)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2009
    Сообщений
    6
    Вес репутации
    31

    Thumbs up Вероятная разновидность braviax

    Здравствуйте!
    Извините за беспокойство, но к сожалению не смог справиться самостоятельно с весьма интересным вредоносным ПО. Симптомы такие:
    через некоторое время после старта Windows XP (ориентировочно 3 - 5 минут) в списке процессов появляется ещё один svchost, запущенный от имени NT AUTHORITY\SYSTEM. При чём не видно ни исходного файла - образа ни времени запуска. Поведение весьма похоже на корневой процесс System, то есть:
    version: n/a
    Time: n/a
    Path: Not Available
    Единственно показано, что запускается вроде как от services.exe:
    Parent: Services.exe (PID). При чём PID соответствует реально запущенному рабочему C:\WINDOWS\system32\services.exe.
    Далее практически сразу же запускается по 1 экземпляру C:\WINDOWS\system32\braviax.exe
    C:\WINDOWS\System32\svchost.exe
    уже как обычные рабочие приложения родителем которых является процесс Winlogon.exe:
    Parent: Winlogon.exe
    Далее запускается экземпляр C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
    При этом начинается отправка почты на сторонние адреса.
    При попытке завершения исходного svchost или
    C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe или
    C:\WINDOWS\system32\braviax.exe или
    C:\WINDOWS\System32\svchost.exe
    появляются экземпляры C:\WINDOWS\System32\svchost.exe при этом происходит активная рассылка писем. В итоге остаётся минимум 2 процесса C:\WINDOWS\System32\svchost.exe убить которые можно путём манипуляции с их тредами
    Путём удаления тредов из процессов C:\WINDOWS\System32\svchost.exe всё таки добился, что оба процесса завершились. После этого произвёл удаление замеченных мною и, как мне показалось, связанных с "пиратской" деятельностью непрошенных гостей, файлов:
    C:\WINDOWS\system32\braviax.exe
    C:\WINDOWS\system32\wisdstr.exe
    C:\WINDOWS\system32\regedit.exe
    C:\WINDOWS\system32\dllcache\figaro.sys
    C:\WINDOWS\system32\wisdstr.exe
    C:\WINDOWS\system32\drivers\beep.sys
    C:\WINDOWS\system32\drivers\927365d4.sys
    C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
    и плюс ещё 2 файла
    msword98.exe
    ikowin32
    где какой располагается уже не помню (вчера до 6 утра всю ночь боролся с заразой)
    Однако после перезагрузки всё начиналось заново. При этом практически идентичная картина была и при чистке в безопасном режиме.
    Прошу меня простить за довольно длительный рассказ, однако ОЧЕНЬ хотелось бы избавиться от подобной заразы побыстрей. Пожалуйста помогите!
    С Уважением, Михаил
    Вложения Вложения
    Последний раз редактировалось mike999666; 13.08.2009 в 21:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    1. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\Program Files\PC_Antispyware2010\htmlayout.dll','');
     QuarantineFile('C:\Program Files\PC_Antispyware2010\AVEngn.dll','');
     TerminateProcessByName('c:\program files\pc_antispyware2010\pc_antispyware2010.exe');
     QuarantineFile('c:\program files\pc_antispyware2010\pc_antispyware2010.exe','');
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('c:\program files\pc_antispyware2010\pc_antispyware2010.exe');
     DeleteFile('C:\Program Files\PC_Antispyware2010\AVEngn.dll');
     DeleteFile('C:\Program Files\PC_Antispyware2010\htmlayout.dll');
    DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true);
    DeleteDirectory('C:\Program Files\PC_Antispyware2010');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    3.
    Код:
    C:\WINDOWS\system32\Drivers\Ntfs.sys
    C:\WINDOWS\system32\Drivers\Beep.sys
    Заменить по этой методике (лучше с дистрибутива)

    Дальнейшее лечение будет эффективным только после выполнения этой рекомендации

    4. Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2009
    Сообщений
    6
    Вес репутации
    31
    Извините, а virusinfo_cure.zip выкладывать?
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Цитата Сообщение от mike999666 Посмотреть сообщение
    Извините, а virusinfo_cure.zip выкладывать?
    Закачайте плиз сюда: http://virusinfo.info/upload_virus.php?tid=52031

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\PC_Antispyware2010\htmlayout.dll','');
     QuarantineFile('C:\Program Files\PC_Antispyware2010\AVEngn.dll','');
     TerminateProcessByName('c:\program files\pc_antispyware2010\pc_antispyware2010.exe');
     QuarantineFile('c:\program files\pc_antispyware2010\pc_antispyware2010.exe','');
     DeleteFile('c:\program files\pc_antispyware2010\pc_antispyware2010.exe');
     DeleteFile('C:\Program Files\PC_Antispyware2010\AVEngn.dll');
     DeleteFile('C:\Program Files\PC_Antispyware2010\htmlayout.dll');
    DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true);
    DeleteDirectory('C:\Program Files\PC_Antispyware2010');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Последний раз редактировалось Rene-gad; 14.08.2009 в 12:04.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2009
    Сообщений
    6
    Вес репутации
    31
    Выполнил всё как Вы сказали. Высылаю логи.
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи virusinfo_syscheck.zip и HiJack
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2009
    Сообщений
    6
    Вес репутации
    31
    Извините! Я не удержался и уже удалил
    C:\WINDOWS\system32\regedit.exe (антивирус нашёл).
    В общем на первый взгляд паразитическая активность более не наблюдается. СПАСИБО ВАМ БОЛЬШОЕ!
    Высылаю логи

    P.S.
    Вы знаете сейчас обнаружил у себя в панели управления такой элемент как
    Windows Security Center. У него иконка точь в точь как была у такого файла как
    C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
    В результате понял, что рано радовался и, воспользовавшись реестром, убедился в этом.
    Были замечены подозрительные объекты в реестре:
    - ключ braviax в следующем имени раздела реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    - в значении ключа braviax.exe 11 КБ 13.08.2009 131 по имени FriendlyName, находящегося в разделе
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{496a2bab-309d-46c1-9f38-b9a922db7ecd}machine\software\policies\microsoft\w indows\safer\codeidentifiers\0\hashes\{eb524ebe-b2bf-46f8-aa98-2f3f73df0bb0}
    - в значении ключа C:\WINDOWS\system32\braviax.exe по имени ItemData, находящегося в разделе
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{496a2bab-309d-46c1-9f38-b9a922db7ecd}machine\software\policies\microsoft\w indows\safer\codeidentifiers\0\paths\{672bd281-9aac-4eba-bbcb-35a0ce254b6c}
    - в имени ключа braviax в разделе
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\run
    - в имени ключа braviax в разделе
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\run
    - в подразделе
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\ComDlg32\OpenSaveMRU
    имеется 3 подраздела в каждом из которых присутствует множество ключей с "заразными" файлами

    Кстати в разделе
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{496a2bab-309d-46c1-9f38-b9a922db7ecd}machine\software\policies\microsoft\w indows\safer\codeidentifiers\0\paths
    имеется всего 6 папок подразделов, в которых есть аналогичные указания на крайне подозрительные файлы
    C:\WINDOWS\system32\dllcache\figaro.sys
    C:\WINDOWS\system32\drivers\beep.sys
    WINDOWS\system32\drivers\927365d4.sys
    C:\WINDOWS\system32\wisdstr.exe
    C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
    Аналогичная ситуация и в
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\{69338521-27E4-4BA1-9803-28F7FDC043F7}Machine\Software\Policies\Microsoft\W indows\Safer\CodeIdentifiers\0\Hashes

    В папке C:\Windows появилась куча разных файлов, имена и пути которых в реестре встречаются в одном разделе с уже известными figaro.sys, beep.sys, braviax.exe и т. д.
    Возможно всё это просто мусор, оставшийся от вируса, но всё таки хотелось бы услышать Ваше мнение по этому поводу
    Просто есть желание быть относительно уверенным, что "зараза ушла окончательно".
    Может быть ещё парочку скриптиков подбросите
    Заранее Спасибо
    Вложения Вложения
    Последний раз редактировалось mike999666; 15.08.2009 в 01:05.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('catchme');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys','');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');
     DeleteService('catchme');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('catchme');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).


    Цитата Сообщение от mike999666 Посмотреть сообщение
    P.S.
    Вы знаете сейчас обнаружил у себя в панели управления такой элемент как
    Windows Security Center.
    В принципе Windows Security Center принадлежит к системе
    - ключ braviax в следующем имени раздела реестра:
    Все элементы реестра с ключом braviax надо удалить.
    Кстати в разделе... есть аналогичные указания на крайне подозрительные файлы
    Кроме C:\WINDOWS\system32\drivers\beep.sys, кторый может быть как хорошим, так и патченным, все остальные - зловреды.
    В папке C:\Windows появилась куча разных файлов, имена и пути которых в реестре встречаются в одном разделе с уже известными figaro.sys, beep.sys, braviax.exe и т. д.
    см. выше

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2009
    Сообщений
    6
    Вес репутации
    31
    удалил всё, что смог найте в реестре от вируса
    ок высылаю
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    В логах ничего подозрительного.
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    - Установите IE 8

  12. #11
    Junior Member Репутация
    Регистрация
    13.08.2009
    Сообщений
    6
    Вес репутации
    31
    ок да, в общем то активность вируса пропала. Да и из панели Windows Security Center тоже исчез. Большое Вам СПАСИБО!
    Надеемся, что вирус не ушёл как нибудь вообще глубоко, что его уже ничем не достать
    ОГРОМНОЕ ВАМ СПАСИБО! а то уже готовился сносить винду

    IE 8 поставлю

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\pc_antispyware2010\avengn.dll - Trojan.Win32.Agent.cupx ( DrWEB: Trojan.Fakealert.4709, AVAST4: Win32:Fraudo [Trj] )
      2. c:\program files\pc_antispyware2010\avengn.dll - Packed.Win32.Krap.t ( DrWEB: Trojan.Fakealert.4709, AVAST4: Win32:Fraudo [Trj] )
      3. c:\program files\pc_antispyware2010\pc_antispyware2010.exe - Trojan.Win32.FraudPack.qfw ( BitDefender: Gen:Trojan.Heur.Jq2@v9KCmGmix, AVAST4: Win32:Fraudo [Trj] )
      4. c:\program files\pc_antispyware2010\pc_antispyware2010.exe - Trojan.Win32.FraudPack.qhx ( DrWEB: Trojan.Fakealert.4776, BitDefender: Gen:Trojan.Heur.Jq2@vfbm0Nhix, AVAST4: Win32:Fraudo [Trj] )
      5. c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.fft ( DrWEB: Trojan.Fakealert.4774, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan, AVAST4: Win32:MalOb-N [Cryp] )
      6. c:\windows\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.xm ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.80497AAE, AVAST4: Win32:FakeAV-NO [Rtk] )
      7. c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, AVAST4: Win32:Cutwail-Y [Trj] )


  • Уважаемый(ая) mike999666, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. разновидность trojan.winlock
      От krokozabr в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.07.2009, 07:38
    2. вероятная атака slui или kido
      От art390 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.05.2009, 14:10
    3. разновидность Podnuha.ay
      От ihbin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.05.2008, 23:58
    4. Новая разновидность Bagle
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 6
      Последнее сообщение: 29.10.2004, 14:01
    5. Новая разновидность MyDoom
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 2
      Последнее сообщение: 27.10.2004, 08:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00732 seconds with 17 queries