Здравствуйте.
Подцепил вирус (неизвестно как и где, но не в этом суть), вчера при включении компьютера (Win XP SP2) запустился якобы PC Antispyware с предложением вылечить всю систему. Почуяв подвох, отказался от его предложения, попытался было удалить его и braviax.exe — тщетно, PC Antispyware удаяляется, а braviax.exe неведомым образом восстанавливается. Тогда я вместо braviax.exe в windir и sysdir положил ctfmon.exe с именем "braviax.exe" и атрибутом "только для чтения". braviax, вроде, перестала запускаться, но при каждом запуске системы файл с именем "BNx.tmp" (где х — цифра) просится в сеть, я, естественно, запрещаю это. Почуяв, что дело не чисто, проверил windir с помощью Malwarebytes' Anti-Malware. Было найдена три подозртильных файла: beep.sys (по-моему, в двух экземплярах) и ещё что-то. Удаляю. После перезапуска они восстанавливаются. Попробовал связку SDFix + ComboFix. Программы удалили много подозрительного, но вот после перезапуска всё снова появилось. Пользуюсь 7-м Касперским, он вообще всё пропускал, находя что-то в svchost.exe. Далее в безопасном режиме проверил диск AVPTool. Были удалены 5 вредоносных объектов: cru629.dat (2 шт.), beep.sys (2 шт.), 5-й объект не запомнил. После перезапуска, как обычно, вирусы живут и процветают.
Перед созданием этой темы, как следует по правилам, делал логи (после отключения восстановления системы). После создания virusinfo_syscure.zip перезапустился... Теперь ко всему ещё добавился PC Antispyware.
Последний раз редактировалось brok3n; 03.09.2009 в 12:51.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо за быстрый ответ.
Скрипт выполнил, компьютер перезагрузился, загрузил карантин (Файл сохранён как 090903_141014_virus_4a9f9606b1aec.zip).
Сейчас буду делать новые логи.
При запуске создался файл bn6.tmp, попросил доступ в сеть.
Карантин отправил.
Посматриваю на сетевую активность в Outpost'e: у svchost.exe открыто 50-65 соединений, а тут и wisdstr.exe подоспел, начал что-то активно качать с alertonbgabert.com. Я быстренько заблокировал любую его активность.
Последний раз редактировалось brok3n; 03.09.2009 в 17:00.
Скачайте свежий CureIt и пролечите систему, он должен справиться.
Сделать это лучше всего непосредственно перед установкой SP3. http://www.freedrweb.com/cureit/
Благодарю, так и сделаю. А восстановление системы включать уже можно? Или это будет бессмысленно - оно зараженные файлы в точки восстановления засунет?..
Нашёл один passviewer и стандартный набор: пару cru629, пару beep и figaro.sys. Кстати, несмотря на отключённую защиту, Windows попросил вставить установочный диск, я вставил (раньше подобные просьбы игнорировал). Файл beep.sys, вроде бы, не меняется уже несколько перезагрузок — размер вменяемый (около 4 кб), сравнивал с другими компьютерами.
pig
Cкоро выполню. где-то как раз видел, что ntfs.sys был замешан c braviax
Добавлено через 24 минуты
ntfs.sys не попал в карантин.
Последний раз редактировалось brok3n; 04.09.2009 в 11:10.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: