Помогите, поймал вирус Brontok!!!!

  • Автор темы sirota0
  • 8612
  • Обновлено
  • 17, Feb 2007
  • #1
Не знаю сюда ли обращаться или в другой раздел? Поймал вирус, знающие люди с другого форума опредилили его, как вирус Brontok.

К сожалению сами они ничем помочь не могут, правила форума не позволяют, вот я и обращаюсь на свой постоянный форум.

Помогите вылечить систему, сносить винду очень нежелательно, а какие другие методы не знаю? Имею антивир Dr.Web но он его в упор не видит, может другой антивир поставить, который бы его и ему подобных злыдней, видел и лечил или удалял?

Для обнаружения вируса использовал hijackthis_199

Попробовал откатить систему - зависла.

Единственное, что сделал - форматнул полностью раздел, где стояла заразившаяся винда, но уже было поздно, моя основная тоже заразилась.

Возможно постоянно связь держать не смогу, выход в инет теперь со второй третьей перезагрузки, а то и вообще полностью всё виснет, даже выключение компа не срабатывает, только путём обесточивания, поэтому могу задерживаться с ответами.

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 17, Feb 2007
  • #2
Если это Brontok.A - это известный червь, которого сносят и Каспер и NOD32 и Symantec и MacAfe.

Надо загрузиться с Live-CD и проверить систему.

Или скачай отсюда _http://www.kaspersky.ru/removaltools?vtopen=154293695#open бесплатную утилиту (антибронток). Можно удалять и ручками, при помощи Live-CD и ERD commandera.
 

Vicci


Рег
19 Apr, 2004

Тем
2

Постов
40

Баллов
60
  • 17, Feb 2007
  • #3
Можно воспользоваться этими ресурсами: Online-проверка на вирусы: список сайтов
http://virusscan.jotti.org/

Осуществляется проверка файлов на вирусы сразу несколькими антивирусами, включая: AntiVir, Avast, AVG Antivirus, BitDefender, ClamAV, Dr.Web, F-Prot Antivirus, Fortinet, Kaspersky Anti-Virus, mks_vir, NOD32, Norman Virus Control.
http://www.virustotal.com/xhtml/index_en.html

Проверка на вирусы осуществляется следующими антивирусами: ClamAV (ClamWin), Computer Associates (Iris, Vet), Doctor Web Ltd.

(DrWeb), Eset Software (NOD32), Fortinet (Fortinet), FRISK Software (F-Prot), Grisoft (AVG), H+BEDV (AntiVir), Ikarus Software (Ikarus), Kaspersky Lab (AVP), Norman (Norman Antivirus), Panda Software (Panda Platinum), Softwin (BitDefender), Sybari (Antigen), Symantec (Norton Antivirus).
http://www.kaspersky.ru/virusscanner

Kaspersky Online Scanner* проверяет ваш компьютер на наличие вредоносного кода, используя технологии Microsoft ActiveX.

С помощью MS Internet Explorer сканер проверит ваш компьютер в режиме on-line и обеспечит при этом такой же высокий уровень детектирования, как и все продукты «Лаборатории Касперского».
http://www.antivir.ru/main.phtml?/online_check

Это очень просто и совершенно бесплатно. Вы отправляете свои файлы при помощи Вашего браузера, они немедленно проверяются на сервере последней версией Dr.Web с полным набором дополнений вирусной базы, и Вам отображается результат проверки!
 

Bobson1


Рег
22 Jul, 2004

Тем
2

Постов
9

Баллов
29
  • 18, Feb 2007
  • #4
Зашёл сперва на 4 ссылку к своему Dr.Web, но нужно файл отправить на проверку, а я то откуда знаю, где этот червь окопался.

Или отправить всю папку WINDOWS? В первой и второй ссылке то же самое - просят прислать файл. Зашёл на третью ссылку - Касперыч работает только с IE, а у меня стоит лисица.

Опять не подходит. Скачал и запустил утилиту, которую посоветовал Vicci, вот что она показала



Скажите, что это означает и что делать дальше? по моему ничего не найдено. Мог ли вирус пакостить и мою винду из той, которую я форматнул? И означает ли это, что я от него избавился? кстати и винда теперь нормально заработала, вроде без глюков.
 

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 18, Feb 2007
  • #5
Технические детали Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл.

Размер зараженного файла около 41 КБ.

Инсталляция

При инсталляции червь копирует себя в следующие каталоги со следующими именами:

%Documents and Settings%\User\Local Settings\Application Data\csrss.exe

%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe

%Documents and Settings%\User\Local Settings\Application Data\lsass.exe

%Documents and Settings%\User\Local Settings\Application Data\services.exe

%Documents and Settings%\User\Local Settings\Application Data\smss.exe

%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe

%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif

%Documents and Settings%\User\Templates\WowTumpeh.com

%System%\<Имя пользователя>'s Setting.scr

%Windir%\eksplorasi.pif

%Windir%\ShellNew\bronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoFolderOptions"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]

"Hidden"="0"

"ShowSuperHidden"="0"

"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"="1"

"DisableCMD"="0"

Также червь создает следующую папку:

%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX

XX – 2 случайные цифры.

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

asp

cfm

csv

doc

eml

html

php

txt

wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

ADMIN

AHNLAB

ALADDIN

ALERT

ALWIL

ANTIGEN

ASSOCIATE

AVAST

AVIRA

BILLING@

BUILDER

CILLIN

CONTOH

CRACK

DATABASE

DEVELOP

ESAFE

ESAVE

ESCAN

EXAMPLE

GRISOFT

HAURI

INFO@

LINUX

MASTER

MICROSOFT

NETWORK

NOD32

NORMAN

NORTON

PANDA

PROGRAM

PROLAND

PROTECT

ROBOT

SECURITY

SOURCE

SYBARI

SYMANTEC

TRUST

UPDATE

VAKSIN

VAKSIN

VIRUS

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

<пустое поле> Имя файла-вложения: Kangen.exe Прочее Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке: .exe Registry
По вопросу: не думаю
 

gablo


Рег
06 Feb, 2007

Тем
0

Постов
1

Баллов
1
  • 18, Feb 2007
  • #6
По поводу DrWeb можно попробовать ещё вот эту штуку

. "По материалам с сайта ******************************************************************************************* Бесплатная лечащая утилита Dr.Web CureIt! - Незаменимое средство для лечения Вашего компьютера от вирусов и нежелательных программ при помощи антивируса Dr.Web

Что такое Dr.Web CureIt!?
Это бесплатный антивирусный сканер на основе ядра Dr.Web, который быстро и эффективно проверит и вылечит, в случае необходимости, компьютеры под управлением операционных систем MS Windows 95OSR2/98/98SE/Me/NT4/2000/XP/2003/2003R2 без установки антивируса Dr.Web.

Dr.Web CureIT! автоматически определяет язык используемой операционной системы (в случае, если локальный язык не поддерживается, устанавливается английский язык). Перечень поддерживаемых языков и история развития утилиты Dr.Web CureIT!.

Утилита содержит самые последние обновления к вирусной базе Dr.Web, обновляемой дважды в час.

Dr.Web CureIT! определяет и удаляет



* Почтовые черви * Сетевые черви * Файловые вирусы * Троянские программы * Стелс-вирусы* Полиморфные вирусы* Бестелесные вирусы* Макро-вирусы* Вирусы, поражающие документы MS Office * Скрипт-вирусы * Шпионское ПО (Spyware) * Программы-похитители паролей * Программы-дозвонщики* Рекламное ПО (Adware) * Потенциально опасное ПО * Хакерские утилиты * Программы-люки * Клавиатурные шпионы* Программы-шутки * Вредоносные скрипты * Другие нежелательные коды*



Как используется Dr.Web CureIt!?
Просто загрузите Dr.Web CureIt! с нашего сайта и запустите на исполнение.

На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска.

Если необходимо просканировать жесткие диски компьютера, выделите в дереве каталогов (центральное окно сканера) объекты для проверки и нажмите кнопку "Начать проверку" в правом нижнем углу окна сканера.

При запуске утилиты в командной строке можно указывать параметры для сканера, т.е. задавать конкретные объекты для проверки и режимы, уточняющие или изменяющие используемые по умолчанию.

При сканировании зараженные файлы будут излечены, а неизлечимые - перемещены в карантин. По окончании проверки остаются доступны файл отчета и сам карантин.

Можно ли обновлять Dr.Web CureIt!?
Лечащая утилита Dr.Web CureIt! вылечит инфицированную систему, но она не является постоянным средством для защиты компьютера от вирусов.

Утилита всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз.



Поставляемые с утилитой Dr.Web CureIt! обновления вирусных баз актуальны только до выхода нового дополнения (как правило, дополнения к вирусным базам Dr.Web выпускаются дважды в час). Для того, чтобы просканировать компьютер утилитой Dr.Web CureIt! в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!. Для этого на первом экране утилиты присутствует ссылка, непосредственно ведущая на наш ftp-сервер, где расположена актуальная версия CureIt! Скачайте ее и повторно запустите."
 

Bobson1


Рег
22 Jul, 2004

Тем
2

Постов
9

Баллов
29
  • 18, Feb 2007
  • #7
Bobson, установил, он что то быстренько так отреагировал, внизу синяя полоска работала, а теперь стоит без движения, хотя надпись идёт проверка осталась. Почему он не показывает индикатором уровень проверки или так и должно быть и он просто закончил уже работу и его можно отключить?

 

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 18, Feb 2007
  • #8
sirota0, post: 637524:
Bobson, установил, он что то быстренько так отреагировал, внизу синяя полоска работала, а теперь стоит без движения, хотя надпись идёт проверка осталась. Почему он не показывает индикатором уровень проверки или так и должно быть и он просто закончил уже работу и его можно отключить?



При запуске он проверяет память, а затем ему, как и обычному DrWeb-у надо указать, что проверять, т.е. указать диски или папки... P.S. Память он может проверять, особенно на медленных машинах, до нескольких минут!
 

Bobson1


Рег
22 Jul, 2004

Тем
2

Постов
9

Баллов
29
  • 18, Feb 2007
  • #9
А забыл сказать, что ничего не нажимается и не выделяется. Вобще не реагирует, попробовал его закрыть - ноль эмоций, продолжает висеть на экране. Ad-aware 6 тоже, доходит примерно до середины и проверки и виснет, ни с места.
 

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 18, Feb 2007
  • #10
Можно ещё попробовать очень хорошую утилиту McAfee AVERT Stinger. Меня выручала нераз!



Взять можно вот здесь
 

Bobson1


Рег
22 Jul, 2004

Тем
2

Постов
9

Баллов
29
  • 18, Feb 2007
  • #11
Всё, жена уже одетая стоит, на дачу с проверкой собралась. После обеда попробую теперь эту прогу. Спасибо.
 

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 18, Feb 2007
  • #12
McAfee AVERT Stinger сработал, вот что он выдал



Это означает, что у меня 55 вирусов? Он их только обнаружил? А как вылечить или удалить? Попробовал открыть List Viruses - не открывается пишет

 

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 18, Feb 2007
  • #14
Еще самым логичным было бы зайти в безопасном режиме и оттуда запустить, сканер Dr.Web или Ad-Aware. Скорей всего зависаний антивируса тогда не будет, просканировать всю систему и соответственно удалить эту дрянь
 

STF


Рег
25 Apr, 2006

Тем
0

Постов
6

Баллов
6
  • 18, Feb 2007
  • #15
Зашёл в безопасном режиме и вышел, требуется пароль администратора, искал его искал, точно помню, что где то записывал.

и не нашёл. Прошёл по указанным ссылкам - опять регистрироваться, спрашивать , отвечать на заумные вопросы, что то отсылать.

Мда. Не проще ли попробовать или заменить антивирус к примеру на касперыча и тут же прогнать систему или вручную, как описано в топике № 5. Он правда так и не ответил, для чего он выложил всё это, просто для общей инфо или как действие, где и что искать и вручную удалять.
 

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 19, Feb 2007
  • #16
sirota0, post: 637532:
Зашёл в безопасном режиме и вышел, требуется пароль администратора, искал его искал, точно помню, что где то записывал. и не нашёл.
Прошёл по указанным ссылкам - опять регистрироваться, спрашивать , отвечать на заумные вопросы, что то отсылать. Мда.
Не проще ли попробовать или заменить антивирус к примеру на касперыча и тут же прогнать систему или вручную, как описано в топике № 5. Он правда так и не ответил, для чего он выложил всё это, просто для общей инфо или как действие, где и что искать и вручную удалять.
Жаль конечно что с безопасном режиме не удалось. Еще вариант, снять жесткий диск и отнести к знакомому у которого стоит Касперский или Нод и просканировать его.

Или попробовать поставить Касперского если получится.

Вообще конечно при утере пароля администратора я бы просто отформатировал диск С и переустановил систему но это уже на ваш выбор.

На антивирус сильно не обижайтесь поверьте любой антивирус пропускает я знаю много примеров к сожалению и по Касперскому по Ноду и Вебу соответственно, идеального нет.

-----------

P.S

Да если поставите Касперского или Нода и будете сканировать диск, обязательно отключите восстановление системы, не знаю по этому вирусу есть звери которые преспокойно могут востанавливатся.
 

STF


Рег
25 Apr, 2006

Тем
0

Постов
6

Баллов
6
  • 19, Feb 2007
  • #17
Всем спасибо, проблему наконец то решил, с помощью Avast.

Но Dr.Web всё равно буду держать в уме, за два года у него первый прокол, заметил, что лучше всего проверять систему 2мя антивирами.

Скажите, а уживутся одновременно Dr/Web и Avast в одной винде в активном состоянии? если нет, то можно ли будет держать одного отключенным и активировать только при полной проверке, отключая в это время активный? Или придётся один сносить и ставить второй, потом обратно?

Касперыча ставить не стал, моему компу уже 9 лет, старый бедолага, а касперыч грузит капитально систему, стоял он у меня, года три назад.

NOD32 ставить не стал - геморрой у него с обновлением, ходи ищи ключи каждый раз.

Ещё раз всем спасибо.
 

sirota0


Рег
12 Apr, 2006

Тем
2

Постов
20

Баллов
40
  • 19, Feb 2007
  • #18
sirota0, post: 637534:
Всем спасибо, проблему наконец то решил, с помощью Avast. Но Dr.Web всё равно буду держать в уме, за два года у него первый прокол, заметил, что лучше всего проверять систему 2мя антивирами.
Скажите, а уживутся одновременно Dr/Web и Avast в одной винде в активном состоянии? если нет, то можно ли будет держать одного отключенным и активировать только при полной проверке, отключая в это время активный? Или придётся один сносить и ставить второй, потом обратно?
Касперыча ставить не стал, моему компу уже 9 лет, старый бедолага, а касперыч грузит капитально систему, стоял он у меня, года три назад.
NOD32 ставить не стал - геморрой у него с обновлением, ходи ищи ключи каждый раз.
Ещё раз всем спасибо.
Ну и слава богу. Два антивируса жить вместе могут но вам придется оставить только один активный монитор, а то проблем скорей всего не избежать. И совет просто житейский, установите какую ни будь программу для резервного копирования системы.

Я использую например Acronis для домашнего компьютера вполне подойдет Acronis True Image Home только русскую версию желательно. В будущем избежите многих проблем при установке неизвестного софта или при проникновении в систему вирусов.

Только не забывая делать резервные копии вовремя.
 

STF


Рег
25 Apr, 2006

Тем
0

Постов
6

Баллов
6
  • 19, Feb 2007
  • #19
sirota0, post: 637534:
Всем спасибо, проблему наконец то решил, с помощью Avast. Но Dr.Web всё равно буду держать в уме, за два года у него первый прокол, заметил, что лучше всего проверять систему 2мя антивирами.
Скажите, а уживутся одновременно Dr/Web и Avast в одной винде в активном состоянии? если нет, то можно ли будет держать одного отключенным и активировать только при полной проверке, отключая в это время активный? Или придётся один сносить и ставить второй, потом обратно?
Касперыча ставить не стал, моему компу уже 9 лет, старый бедолага, а касперыч грузит капитально систему, стоял он у меня, года три назад.
NOD32 ставить не стал - геморрой у него с обновлением, ходи ищи ключи каждый раз.
Ещё раз всем спасибо.
По поводу Avast-a: он может и не ужиться с другим антивирусом, даже при инсталляции он проверяет: нет ли ещё одного резидента.

И если обнаруживает то может и не запустить резидентную защиту! Я с этим делом сталкивался несколько раз.

В этом случае помогает установка сначала Avast-a, а потом другого антивира.

А вообще два антивируса в резиденте на одной машине, это нонсенс! И машина подчас здорово тормозит и глюки всякие вылезают!
 

Bobson1


Рег
22 Jul, 2004

Тем
2

Постов
9

Баллов
29
  • 22, Dec 2016
  • #20
А где эта зараза подхватывается?





А то я ничем не пользуюсь.[MOD="Vitalik"]обычно при промискуитете...
 

Xiomai


Рег
19 Dec, 2016

Тем
0

Постов
2

Баллов
2
Тем
49554
Комментарии
57426
Опыт
552966

Интересно