Your computer is infected! (braviax.exe) [OK]

[Ironfist_k]

При загрузке XP на панели задач выскакивает сообщение Your computer is infected! и значок с красным крестом,

и соответственно в папке виндовс неубиваемый braviax.exe

логи прилагаю

помогите пожалуйста

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\167\Local Settings\Temp\~DFA74.tmp','');
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
TerminateProcessByName('c:\windows\braviax.exe');
QuarantineFile('c:\windows\braviax.exe','');
DeleteFile('c:\windows\braviax.exe');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('digiwet.dll');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\Documents and Settings\167\Local Settings\Temp\~DFA74.tmp');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik ');
BC_DeleteSvc('nicsk32 ');
BC_DeleteSvc('ksi32sk ');
BC_DeleteSvc('i386si ');
BC_DeleteSvc('ati64si ');
BC_DeleteSvc('fips32cup ');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Пофиксить в HJT:

O20 - AppInit_DLLs: cru629.dat

 

Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

 

copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

 

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения написанного.

[Ironfist_k]

Спасибо.

Все сделал.

Сообщение пропало.

Высылаю новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\cru629.dat');	 
BC_ImportDeletedList;
ExecuteSysClean;								   
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Пофиксите:

O20 - AppInit_DLLs: cru629.dat

Сделайте новый комплект логов.

[Ironfist_k]

Сделал.

Вот новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

Чисто.

 

Только зачем вы еще на Virusinfo отправились?

 

Дополнительно:

Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

 

P.S. Только определитесь где вам лечиться на VI или тут

[Ironfist_k]

Большое человеческое спасибо!

да чета кинул сначала и сюды и туды от паники наверное, первый раз такое ))

буду сдесь долечиваца, чтобы зря людей не напрягать

[Falcon]

Ironfist_k, лучше тогда после выполнения рекомендаций с %fsystemroot% выложите контрольный лог AVZ и тут, и там, чтобы почти в конце лечения люди не подумали, что зря старались А вообще VI - это дружественный нам ресурс, они поймут, такое не раз бывало.

[Ironfist_k]

контрольный лог

virusinfo_syscheck.zip

[Falcon]

Теперь все в порядке.