Помогите, поймал вирус Brontok!!!!

[sirota0]

Не знаю сюда ли обращаться или в другой раздел?
Поймал вирус, знающие люди с другого форума опредилили его, как вирус Brontok. К сожалению сами они ничем помочь не могут, правила форума не позволяют, вот я и обращаюсь на свой постоянный форум. Помогите вылечить систему, сносить винду очень нежелательно, а какие другие методы не знаю? Имею антивир Dr.Web но он его в упор не видит, может другой антивир поставить, который бы его и ему подобных злыдней, видел и лечил или удалял?
Для обнаружения вируса использовал hijackthis_199
Попробовал откатить систему - зависла. Единственное, что сделал - форматнул полностью раздел, где стояла заразившаяся винда, но уже было поздно, моя основная тоже заразилась.

Возможно постоянно связь держать не смогу, выход в инет теперь со второй третьей перезагрузки, а то и вообще полностью всё виснет, даже выключение компа не срабатывает, только путём обесточивания, поэтому могу задерживаться с ответами.

 

[Vicci]

Если это Brontok.A - это известный червь, которого сносят и Каспер и NOD32 и Symantec и MacAfe. Надо загрузиться с Live-CD и проверить систему. Или скачай отсюда
_http://www.kaspersky.ru/removaltools?vtopen=154293695#open
бесплатную утилиту (антибронток).
Можно удалять и ручками, при помощи Live-CD и ERD commandera.

 

[Bobson]

Можно воспользоваться этими ресурсами:

Online-проверка на вирусы: список сайтов
http://virusscan.jotti.org/
Осуществляется проверка файлов на вирусы сразу несколькими антивирусами, включая: AntiVir, Avast, AVG Antivirus, BitDefender, ClamAV, Dr.Web, F-Prot Antivirus, Fortinet, Kaspersky Anti-Virus, mks_vir, NOD32, Norman Virus Control.

http://www.virustotal.com/xhtml/index_en.html
Проверка на вирусы осуществляется следующими антивирусами: ClamAV (ClamWin), Computer Associates (Iris, Vet), Doctor Web Ltd. (DrWeb), Eset Software (NOD32), Fortinet (Fortinet), FRISK Software (F-Prot), Grisoft (AVG), H+BEDV (AntiVir), Ikarus Software (Ikarus), Kaspersky Lab (AVP), Norman (Norman Antivirus), Panda Software (Panda Platinum), Softwin (BitDefender), Sybari (Antigen), Symantec (Norton Antivirus).

http://www.kaspersky.ru/virusscanner
Kaspersky Online Scanner* проверяет ваш компьютер на наличие вредоносного кода, используя технологии Microsoft ActiveX. С помощью MS Internet Explorer сканер проверит ваш компьютер в режиме on-line и обеспечит при этом такой же высокий уровень детектирования, как и все продукты «Лаборатории Касперского».

http://www.antivir.ru/main.phtml?/online_check
Это очень просто и совершенно бесплатно. Вы отправляете свои файлы при помощи Вашего браузера, они немедленно проверяются на сервере последней версией Dr.Web с полным набором дополнений вирусной базы, и Вам отображается результат проверки!

 

[sirota0]

Зашёл сперва на 4 ссылку к своему Dr.Web, но нужно файл отправить на проверку, а я то откуда знаю, где этот червь окопался. Или отправить всю папку WINDOWS? В первой и второй ссылке то же самое - просят прислать файл.

Зашёл на третью ссылку - Касперыч работает только с IE, а у меня стоит лисица. Опять не подходит.

Скачал и запустил утилиту, которую посоветовал Vicci, вот что она показала

Скажите, что это означает и что делать дальше? по моему ничего не найдено. Мог ли вирус пакостить и мою винду из той, которую я форматнул? И означает ли это, что я от него избавился? кстати и винда теперь нормально заработала, вроде без глюков.

 

[gablo]

[HIDE="1"]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=96428[/HIDE]


Технические детали


Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция

При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX

XX – 2 случайные цифры.
Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
<пустое поле>
Имя файла-вложения:
Kangen.exe
Прочее

Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry


По вопросу: не думаю

 

[Bobson]

По поводу DrWeb можно попробовать ещё вот эту штуку.

"По материалам с сайта


*******************************************************************************************


Бесплатная лечащая утилита Dr.Web CureIt! - Незаменимое средство для лечения Вашего компьютера от вирусов и нежелательных программ при помощи антивируса Dr.Web

Что такое Dr.Web CureIt!?
Это бесплатный антивирусный сканер на основе ядра Dr.Web, который быстро и эффективно проверит и вылечит, в случае необходимости, компьютеры под управлением операционных систем MS Windows 95OSR2/98/98SE/Me/NT4/2000/XP/2003/2003R2 без установки антивируса Dr.Web.


Dr.Web CureIT! автоматически определяет язык используемой операционной системы (в случае, если локальный язык не поддерживается, устанавливается английский язык). Перечень поддерживаемых языков и история развития утилиты Dr.Web CureIT!.

Утилита содержит самые последние обновления к вирусной базе Dr.Web, обновляемой дважды в час.

Dr.Web CureIT! определяет и удаляет
* Почтовые черви * Сетевые черви * Файловые вирусы * Троянские программы * Стелс-вирусы* Полиморфные вирусы* Бестелесные вирусы* Макро-вирусы* Вирусы, поражающие документы MS Office * Скрипт-вирусы * Шпионское ПО (Spyware) * Программы-похитители паролей * Программы-дозвонщики* Рекламное ПО (Adware) * Потенциально опасное ПО * Хакерские утилиты * Программы-люки * Клавиатурные шпионы* Программы-шутки * Вредоносные скрипты * Другие нежелательные коды*

Как используется Dr.Web CureIt!?
Просто загрузите Dr.Web CureIt! с нашего сайта и запустите на исполнение. На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска. Если необходимо просканировать жесткие диски компьютера, выделите в дереве каталогов (центральное окно сканера) объекты для проверки и нажмите кнопку "Начать проверку" в правом нижнем углу окна сканера.

При запуске утилиты в командной строке можно указывать параметры для сканера, т.е. задавать конкретные объекты для проверки и режимы, уточняющие или изменяющие используемые по умолчанию.

При сканировании зараженные файлы будут излечены, а неизлечимые - перемещены в карантин. По окончании проверки остаются доступны файл отчета и сам карантин.

Можно ли обновлять Dr.Web CureIt!?
Лечащая утилита Dr.Web CureIt! вылечит инфицированную систему, но она не является постоянным средством для защиты компьютера от вирусов. Утилита всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз. Поставляемые с утилитой Dr.Web CureIt! обновления вирусных баз актуальны только до выхода нового дополнения (как правило, дополнения к вирусным базам Dr.Web выпускаются дважды в час). Для того, чтобы просканировать компьютер утилитой Dr.Web CureIt! в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!. Для этого на первом экране утилиты присутствует ссылка, непосредственно ведущая на наш ftp-сервер, где расположена актуальная версия CureIt! Скачайте ее и повторно запустите."

 

[sirota0]

К посту №5. Понятно, зря я на сына грешил, почта только на моей винде.

 

[sirota0]

Bobson, установил, он что то быстренько так отреагировал, внизу синяя полоска работала, а теперь стоит без движения, хотя надпись идёт проверка осталась. Почему он не показывает индикатором уровень проверки или так и должно быть и он просто закончил уже работу и его можно отключить?

 

[Bobson]

Bobson, установил, он что то быстренько так отреагировал, внизу синяя полоска работала, а теперь стоит без движения, хотя надпись идёт проверка осталась. Почему он не показывает индикатором уровень проверки или так и должно быть и он просто закончил уже работу и его можно отключить?

При запуске он проверяет память, а затем ему, как и обычному DrWeb-у надо указать, что проверять, т.е. указать диски или папки...

P.S. Память он может проверять, особенно на медленных машинах, до нескольких минут!

 

[sirota0]

А забыл сказать, что ничего не нажимается и не выделяется. Вобще не реагирует, попробовал его закрыть - ноль эмоций, продолжает висеть на экране.
Ad-aware 6 тоже, доходит примерно до середины и проверки и виснет, ни с места.

 

[Bobson]

Можно ещё попробовать очень хорошую утилиту McAfee AVERT Stinger. Меня выручала нераз!

Взять можно вот здесь

 

[sirota0]

Всё, жена уже одетая стоит, на дачу с проверкой собралась. После обеда попробую теперь эту прогу. Спасибо.

 

[sirota0]

McAfee AVERT Stinger сработал, вот что он выдал

Это означает, что у меня 55 вирусов? Он их только обнаружил? А как вылечить или удалить? Попробовал открыть List Viruses - не открывается пишет

 

[STF]

Попробуйте еще зайти сюда: http://help.virusinfo.info/
Прочитать и выполнить: http://virusinfo.info/showthread.php?t=1235
Здесь ребята занимаются отловом и избавлением ваших машин от разных злыдней.
Насколько знаю многим помогало.

 

[STF]

Еще самым логичным было бы зайти в безопасном режиме и оттуда запустить, сканер Dr.Web или Ad-Aware. Скорей всего зависаний антивируса тогда не будет, просканировать всю систему и соответственно удалить эту дрянь

 

[sirota0]

Зашёл в безопасном режиме и вышел, требуется пароль администратора, искал его искал, точно помню, что где то записывал. и не нашёл.
Прошёл по указанным ссылкам - опять регистрироваться, спрашивать , отвечать на заумные вопросы, что то отсылать. Мда.
Не проще ли попробовать или заменить антивирус к примеру на касперыча и тут же прогнать систему или вручную, как описано в топике № 5. Он правда так и не ответил, для чего он выложил всё это, просто для общей инфо или как действие, где и что искать и вручную удалять.

 

[STF]

Зашёл в безопасном режиме и вышел, требуется пароль администратора, искал его искал, точно помню, что где то записывал. и не нашёл.
Прошёл по указанным ссылкам - опять регистрироваться, спрашивать , отвечать на заумные вопросы, что то отсылать. Мда.
Не проще ли попробовать или заменить антивирус к примеру на касперыча и тут же прогнать систему или вручную, как описано в топике № 5. Он правда так и не ответил, для чего он выложил всё это, просто для общей инфо или как действие, где и что искать и вручную удалять.

Жаль конечно что с безопасном режиме не удалось.
Еще вариант, снять жесткий диск и отнести к знакомому у которого стоит Касперский или
Нод и просканировать его. Или попробовать поставить Касперского если получится.
Вообще конечно при утере пароля администратора я бы просто отформатировал диск С и переустановил систему но это уже на ваш выбор.
На антивирус сильно не обижайтесь поверьте любой антивирус пропускает я знаю много примеров к сожалению и по Касперскому по Ноду и Вебу соответственно, идеального нет.
-----------
P.S

Да если поставите Касперского или Нода и будете сканировать диск, обязательно отключите восстановление системы, не знаю по этому вирусу есть звери которые преспокойно могут востанавливатся.

 

[sirota0]

Всем спасибо, проблему наконец то решил, с помощью Avast. Но Dr.Web всё равно буду держать в уме, за два года у него первый прокол, заметил, что лучше всего проверять систему 2мя антивирами.
Скажите, а уживутся одновременно Dr/Web и Avast в одной винде в активном состоянии? если нет, то можно ли будет держать одного отключенным и активировать только при полной проверке, отключая в это время активный? Или придётся один сносить и ставить второй, потом обратно?
Касперыча ставить не стал, моему компу уже 9 лет, старый бедолага, а касперыч грузит капитально систему, стоял он у меня, года три назад.
NOD32 ставить не стал - геморрой у него с обновлением, ходи ищи ключи каждый раз.
Ещё раз всем спасибо.

 

[STF]

Всем спасибо, проблему наконец то решил, с помощью Avast. Но Dr.Web всё равно буду держать в уме, за два года у него первый прокол, заметил, что лучше всего проверять систему 2мя антивирами.
Скажите, а уживутся одновременно Dr/Web и Avast в одной винде в активном состоянии? если нет, то можно ли будет держать одного отключенным и активировать только при полной проверке, отключая в это время активный? Или придётся один сносить и ставить второй, потом обратно?
Касперыча ставить не стал, моему компу уже 9 лет, старый бедолага, а касперыч грузит капитально систему, стоял он у меня, года три назад.
NOD32 ставить не стал - геморрой у него с обновлением, ходи ищи ключи каждый раз.
Ещё раз всем спасибо.

Ну и слава богу.
Два антивируса жить вместе могут но вам придется оставить только один активный монитор, а то проблем скорей всего не избежать.
И совет просто житейский, установите какую ни будь программу для резервного копирования системы. Я использую например Acronis для домашнего компьютера
вполне подойдет Acronis True Image Home только русскую версию желательно.
В будущем избежите многих проблем при установке неизвестного софта или при
проникновении в систему вирусов. Только не забывая делать резервные копии вовремя.

 

[Bobson]

Всем спасибо, проблему наконец то решил, с помощью Avast. Но Dr.Web всё равно буду держать в уме, за два года у него первый прокол, заметил, что лучше всего проверять систему 2мя антивирами.
Скажите, а уживутся одновременно Dr/Web и Avast в одной винде в активном состоянии? если нет, то можно ли будет держать одного отключенным и активировать только при полной проверке, отключая в это время активный? Или придётся один сносить и ставить второй, потом обратно?
Касперыча ставить не стал, моему компу уже 9 лет, старый бедолага, а касперыч грузит капитально систему, стоял он у меня, года три назад.
NOD32 ставить не стал - геморрой у него с обновлением, ходи ищи ключи каждый раз.
Ещё раз всем спасибо.

По поводу Avast-a: он может и не ужиться с другим антивирусом, даже при инсталляции он проверяет: нет ли ещё одного резидента. И если обнаруживает то может и не запустить резидентную защиту! Я с этим делом сталкивался несколько раз... В этом случае помогает установка сначала Avast-a, а потом другого антивира. А вообще два антивируса в резиденте на одной машине, это нонсенс! И машина подчас здорово тормозит и глюки всякие вылезают!