braviax.exe, brastk.exe

[Bob Rowsky]

Здравствуйте!

Помогите пожалуйста вручную удалить вирус, так как у меня стоит "Семантик антивирус", а он не справился.

Результат воздействия следующий:

1 По пути C:\windows\ расположился файл brastk.exe, который удалить невозможно (удаляю, появляется снова).

2 По пути C:\windows\system32 расположились файлы brastk.exe и braviax.exe, которые тоже удалить невозможно (удаляю, появляется снова). Собственно обнаруживаются они по наличию ключей в автозагрузке иредакторе реестра HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run.

3 В трее появилась красная кнопка с крестиком и над ней постоянно появляется табличка с надписью: "You computer is infected!" и указанием подсоединиться к какому-то сайту, якобы микрософтовскому, для обновления вирусных баз.

4 В "панели инструментов" исчез "Центр обеспечения безопасности" и появился такой-же англоязычный, но если в него войти и нажать на любую кнопку то идет попытка подсоединения к какому-то левому сайту.

5 Отключается брандмауэр Виндовс.

6 В "Семантек антивирусе" "отрубило" обновление антивирусных баз, а также периодически "отрубается автозащита" файловой системы.

7 При подключении к локальной сети, а через нее к Интернету сразу же происходит перезагрузка операционной системы.

Вот так, вот. Выйти с зараженного компьютера в Интернет не могу.

Заранее благодарен.

[ТроПа]

Выполните рекомендации из темы ЧИТАТЬ ПЕРЕД СОЗДАНИЕМ ТЕМЫ!. Без логов АВЗ и HJT будет тяжело вам помочь.

[Bob Rowsky]

Еще раз говорю. Выполнить рекомендации при всем желании не могу. Так, как при подключении к Интернету происходит перезагрузка. На этот компьютер нести заразу не хочу, так как у друга, некоторое время назад, предположительно этот вирус "ужрал" "Касперского антивирус" полностью и другие файлы повредил, так, что их сейчас вскрывают. Не хочу рисковать. Надеюсь, кто-то встречал подобное воздействие и есть опыт.

С каждым днем Интернет становится все более небезопасным фатально, и труд антивирусных компаний, кажется напрасным, очень сильно напрасным...

[MedvedevUnited]

А Вы не можете скачать необходимые утилиты с компьютера, с которого сейчас пишете?

[Bob Rowsky]

Могу и скачаю сейчас.

Просто, нет настроения. Антивирус на том компьютере стоит... базы обновляю регулярно, а с июля этого года жизни нет. Постоянно очень тяжелые по последствиям вирусы. Мне кажется в нашей локалке, кто-то умный слишком и ему нечем заняться или у кого-то компы без защиты, которые безмерно по Тырнету шарятся и весь триппер собирают.

В течение недели попробую все сделать

[Гриша]

Может логи лучше подготовите?

[Bob Rowsky]

Да, подготовлю, только еще раз повторю, перенести их с больного компа на здоровый очень проблематично

[ТроПа]

Что очень далн

Надеюсь, кто-то встречал подобное воздействие и есть опыт.

 

То что мы встречали различные виды заражения это несомненно. Единственная проблема, что практически каждый случай уникален и что-то порекомендовать Вам не увидев картины не возможно.

[Bob Rowsky]

Прикладываю логи. Однако скажу сразу, запустить эти две программы не удалось запустить никак и даже в безопасном режиме. Восстановление системы было отключено, брандмауэр отключен, защита Семантека антивируса отключена. Запускал программы в операционной системе загрузочного DVD - Виндовс Барт ПЕ.

 

Третий файл здесь (при работе "HijackThis").

 

Надеюсь на Вашу помощь.

 

Кто-нибудь разбирается в этом?

virusinfo_syscheck.zip

virusinfo_syscure.zip

12.zip

[Гриша]

Это логи не винды а барт пе, скачайте этот AVZ http://depositfiles.com/en/files/6501498 и сделайте логи...

[Bob Rowsky]

Скачал. Файл - evrika.pif. Не знал, что с ним делать. Поменял pif на zip, попробовал разархивировать, ничего не получилось. Решил запустить и О чудо, он запустился. Тогда переименовал файл который скачивал вчера, попробовал запустить, все нормально. Не пойму, зачем Вы меня посылали по адресу http://depositfiles.com/en/files/6501498 ? Когда можно было сказать мне, чтобы я сменил имя и расширение незапускавшегося avz.exe.

[Гриша]

Я наверное знаю что и для чего я просил Там разница не только в расширении...

[TAPAKAH]

Доброго времени суток господа : )

 

4 часа факался с brastk.exe и таки он умер.. вот решил глянуть в гугле что про него пишут и наткнулся на сей пост.

Теперь по порядку..

 

много лет пользуюсь касперским, вседа служил верой и правдой, а вот сегодня обкакался он с этим brastk как малец молодой) словила моя супруга его на ноутбуке, подошёл глянуть что за чудо... и понеслось.

Касперский умирает на ура, как и писал Bob Rowsky, в safe mode не поднимается и не сканит никаким макаром, файрвол уходит курить, периодически комп ломится на http://xpas-2009.com за якобы инсталляшкой XP Antispyware какой-то там. Поробовал версию портэйбл созданную местными кудесниками - бедняга даже не может запуститься с флешки, вообщем антивирус касперского совсем ничего не смог сделать. Попробовал всякие чудо методы, один раз грохнул этот brastk но потом он опять вылез после нескольких рестаротов )))

Думал уже не париться, а повесить клон (благо был сделан до этого) и о чудо, от нефиг думаю приколюсь поставлю NOD32 всёравно ничего не теряю, лежит себе на флешке. Так вот, поставил нод ради прикола (у меня Business Edition).

Он проставился, и даже проапдейтился, ну начал сканить - через пару минут синий экран, ХР упал, рестарт, я залез в safe mode нод закричал что у него косяк с kernel )))

рестартанулся зашёл нормально, нод красный - рил тайм протэкшн не палит, но всётаки сканить начал. Уже сканил дольше, % до 30 дошёл опять рухнул ХР с синим экраном. Так было пару раз ещё, но постепенно нод доходил но конца и всётаки грохнул этот чудо вирус))

рестартанулся, загорелся зелёным - всё впорядке, всё у него включилось. На ХР файрвол сразу заработал итд, короче теперь всё летает.

Сча закину скрин, что поймал нод вместе с этим "брастиком"..

 

P.S

 

пользуюясь случаем передаю привет дяде Жене : )))

 

скрин

 

а да, ещё добавлю.. я пока эксперементирвал решил приколоться с сайта посканить )) - так сказать "Проверить на вирусы on-line".

 

Kaspersky Online Scanner - закрывается вместе с бровзером (юзал IE)

Kaspersky File Scanner - если ему пихать эти файлики ручёнками, писал мол ничего нету.

[Bob Rowsky]

много лет пользуюсь касперским, вседа служил верой и правдой, а вот сегодня обкакался он с этим brastk как малец молодой) словила моя супруга его на ноутбуке, подошёл глянуть что за чудо... и понеслось.

Нападение всегда имеет приоритет над защитой. Значит НОД-овские программисты самые оперативные. Ничего, Касперские и Сайментики, я думаю, тоже подтянутся. Спасибо за скрин.

 

Для Гриши. Логи из под Виндовс ХР загрузил. С HijackThis переименования не проходят. Так-что, снова - никак.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Давайте так попробуем:

 

В AVZ выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\lsass.exe ');
TerminateProcessByName('C:\WINDOWS\system32\brastk.exe ');
TerminateProcessByName('C:\WINDOWS\system32\braviax.exe ');
QuarantineFile('C:\WINDOWS\system32\brastk.exe ',' ');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS ',' ');
QuarantineFile(' C:\WINDOWS\lsass.exe ',' ');
QuarantineFile(' C:\WINDOWS\system32\braviax.exe ',' ');
DeleteService('AlerterCiSvc');
DeleteService('AlerterCiSvcMSIServer');
DeleteService('Alerterlanmanworkstation');
DeleteService('ALGlanmanserver');
DeleteService('AppMgmtNetDDEdsdm');
DeleteService('AtiWebClientNetmanSamSs');
DeleteService('AtiWebClientNetmanSamSsWmiApSrvEventlog');
DeleteService('AudioSrvNetlogon');
DeleteService('BITSdmserverseclogon');
DeleteService('ccEvtMgrAudioSrvNetlogon');
DeleteService('ccPwdSvcCryptSvc');
DeleteService('ClipSrvWebClientRemoteAccess');
DeleteService('ClipSrvwinlogindmserverseclogon');
DeleteService('DefWatchUMWdfSamSs');
DeleteService('DefWatchUMWdfSamSsHTTPFilter');
DeleteService('DhcpDhcp');
DeleteService('dmserverseclogon');
DeleteService('dmserverseclogonwuauserv');
DeleteService('EventlogCiSvc');
DeleteService('EventSystemTermService');
DeleteService('FastUserSwitchingCompatibilityDhcpDhcp');
DeleteService('FastUserSwitchingCompatibilityDhcpDhcpRasAuto');
DeleteService('FastUserSwitchingCompatibilitySwPrv');
DeleteService('FastUserSwitchingCompatibilitySwPrvAudioSrv');
DeleteService('HTTPFilterAppMgmt');
DeleteService('HTTPFilterHTTPFilter');
DeleteService('HTTPFilterWZCSVC');
DeleteService('ImapiServiceAtiWebClientNetmanSamSs');
DeleteService('matlabserverccEvtMgr');
DeleteService('matlabserverccEvtMgrShellHWDetection');
DeleteService('MessengerHTTPFilter');
DeleteService('MessengerRDSessMgr');
DeleteService('NetlogonNetmanSamSs');
DeleteService('NetmanSamSs');
DeleteService('NetmanSamSsDhcpDhcp');
DeleteService('NtLmSspERSvc');
DeleteService('NtLmSspProtectedStorage');
DeleteService('PlugPlaySandraTheSrv');
DeleteService('PolicyAgentBrowser');
DeleteService('PolicyAgentdmserver');
DeleteService('ProtectedStorageDnscache');
DeleteService('ProtectedStorageSandraDataSrv');
DeleteService('ProtectedStorageSandraDataSrvAlerterlanmanworkstation');
DeleteService('RasManCryptSvc');
DeleteService('RpcLocatorSCardSvr');
DeleteService('srserviceNla');
DeleteService('SSDPSRVAlerterCiSvc');
DeleteService('StarWindServiceLmHosts');
DeleteService('StarWindServiceLmHostsdmserverseclogonwuauserv');
DeleteService('StarWindServiceLmHostsSandraTheSrv');
DeleteService('StarWindServiceLmHostsSandraTheSrvShellHWDetection');
DeleteService('SymantecERSvc');
DeleteService('SymantecRSVP');
DeleteService('TrkWksDefWatch');
DeleteService('TUWinStylerThemeSvcsrservice');
DeleteService('UMWdfSamSs');
DeleteService('UMWdfSysmonLog');
DeleteService('UMWdfSysmonLog');
DeleteService('W32TimewinloginStarWindService');
DeleteService('WebClientNetmanSamSs');
DeleteService('WebClientNetmanSamSsTUWinStylerThemeSvcsrservice');
DeleteService('WebClientRemoteAccess');
DeleteService('WebClientRemoteAccesshelpsvc');
DeleteService('winlogin');
DeleteService('winlogindmserverseclogon');
DeleteService('winloginStarWindService');
DeleteService('WmiApSrvEventlog');
DeleteService('WmiApSrvHidServ');
DeleteService('WmiTrkWks');
DeleteService('Lrv38');
DeleteService('symavc32');
DeleteService('Winbf72');
DeleteService('Wincg04');
DeleteService('Winch83');
DeleteService('Windi04');
DeleteService('Winei37');
DeleteService('Winfj04');
DeleteService('Winfu15');
DeleteService('Wingl04');
DeleteService('Wingl72');
DeleteService('WINIO');
DeleteService('Winmr83');
DeleteService('Winms48');
DeleteService('Winnr72');
DeleteService('Winpt61');
DeleteService('Wintx61');
DeleteService('Winwc61');
DeleteService('Winxc83');
DeleteService('Winyd26');
DeleteService('Winye61');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\lsass.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrv38.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincg04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winei37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfu15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl72.sys');
DeleteFile('C:\WINDOWS\system32\winio.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnr72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintx61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyd26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye61.sys');
DeleteFile('C:\WINDOWS\karna.dat');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('kdjov.exe');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('C:\Documents and Settings\GIGAZOID\Local Settings\Temporary Internet Files\Content.IE5\WTT61HBC\Install[1].exe');
DeleteFile('C:\Documents and Settings\GIGAZOID\Local Settings\Temporary Internet Files\Content.IE5\69AEA6OU\Install[1].exe');
DeleteFile('C:\WINDOWS\system32\wini10541.exe');
DeleteFile('C:\WINDOWS\system32\wini10542.exe');
DeleteFile('D:\Мои документы_d\Programming\Кряк\Запрещенное\KeySpy\bks32.zip');
DeleteFile('srv.exe');
DeleteFile('WinCtrl32.dll');
DelWinlogonNotifyByFileName('braviax.exe ');
DelWinlogonNotifyByFileName('brastk.exe ');
DelWinlogonNotifyByFileName('kdjov.exe');
DelWinlogonNotifyByFileName('karna.dat');
DelWinlogonNotifyByFileName('WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Карантин отправьте на newvirus@kaspersky.com (пароль на архиве "virus" укажите в письме), логи повторите.

Изменено 19 октября, 2008 пользователем Falcon