Помогите, поймал вирус Brontok!!!!

[sirota0]

Не знаю сюда ли обращаться или в другой раздел?
Поймал вирус, знающие люди с другого форума опредилили его, как вирус Brontok. К сожалению сами они ничем помочь не могут, правила форума не позволяют, вот я и обращаюсь на свой постоянный форум. Помогите вылечить систему, сносить винду очень нежелательно, а какие другие методы не знаю? Имею антивир Dr.Web но он его в упор не видит, может другой антивир поставить, который бы его и ему подобных злыдней, видел и лечил или удалял?
Для обнаружения вируса использовал hijackthis_199
Попробовал откатить систему - зависла. Единственное, что сделал - форматнул полностью раздел, где стояла заразившаяся винда, но уже было поздно, моя основная тоже заразилась.

Возможно постоянно связь держать не смогу, выход в инет теперь со второй третьей перезагрузки, а то и вообще полностью всё виснет, даже выключение компа не срабатывает, только путём обесточивания, поэтому могу задерживаться с ответами.

 

[Vicci]

Если это Brontok.A - это известный червь, которого сносят и Каспер и NOD32 и Symantec и MacAfe. Надо загрузиться с Live-CD и проверить систему. Или скачай отсюда
_http://www.kaspersky.ru/removaltools?vtopen=154293695#open
бесплатную утилиту (антибронток).
Можно удалять и ручками, при помощи Live-CD и ERD commandera.

 

[Bobson]

Можно воспользоваться этими ресурсами:

Online-проверка на вирусы: список сайтов
Для просмотра ссылки Войди или Зарегистрируйся
Осуществляется проверка файлов на вирусы сразу несколькими антивирусами, включая: AntiVir, Avast, AVG Antivirus, BitDefender, ClamAV, Dr.Web, F-Prot Antivirus, Fortinet, Kaspersky Anti-Virus, mks_vir, NOD32, Norman Virus Control.

Для просмотра ссылки Войди или Зарегистрируйся
Проверка на вирусы осуществляется следующими антивирусами: ClamAV (ClamWin), Computer Associates (Iris, Vet), Doctor Web Ltd. (DrWeb), Eset Software (NOD32), Fortinet (Fortinet), FRISK Software (F-Prot), Grisoft (AVG), H+BEDV (AntiVir), Ikarus Software (Ikarus), Kaspersky Lab (AVP), Norman (Norman Antivirus), Panda Software (Panda Platinum), Softwin (BitDefender), Sybari (Antigen), Symantec (Norton Antivirus).

Для просмотра ссылки Войди или Зарегистрируйся
Kaspersky Online Scanner* проверяет ваш компьютер на наличие вредоносного кода, используя технологии Microsoft ActiveX. С помощью MS Internet Explorer сканер проверит ваш компьютер в режиме on-line и обеспечит при этом такой же высокий уровень детектирования, как и все продукты «Лаборатории Касперского».

Для просмотра ссылки Войди или Зарегистрируйся
Это очень просто и совершенно бесплатно. Вы отправляете свои файлы при помощи Вашего браузера, они немедленно проверяются на сервере последней версией Dr.Web с полным набором дополнений вирусной базы, и Вам отображается результат проверки!

 

[sirota0]

Зашёл сперва на 4 ссылку к своему Dr.Web, но нужно файл отправить на проверку, а я то откуда знаю, где этот червь окопался. Или отправить всю папку WINDOWS? В первой и второй ссылке то же самое - просят прислать файл.

Зашёл на третью ссылку - Касперыч работает только с IE, а у меня стоит лисица. Опять не подходит.

Скачал и запустил утилиту, которую посоветовал Vicci, вот что она показала

Скажите, что это означает и что делать дальше? по моему ничего не найдено. Мог ли вирус пакостить и мою винду из той, которую я форматнул? И означает ли это, что я от него избавился? кстати и винда теперь нормально заработала, вроде без глюков.

 

[gablo]

[HIDE="1"]Для просмотра ссылки Войди или Зарегистрируйся[/HIDE]


Технические детали


Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция

При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX

XX – 2 случайные цифры.
Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
<пустое поле>
Имя файла-вложения:
Kangen.exe
Прочее

Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry


По вопросу: не думаю

 

[Bobson]

По поводу DrWeb можно попробовать ещё вот эту Для просмотра ссылки Войди или Зарегистрируйся.

"По материалам с сайта


*******************************************************************************************


Бесплатная лечащая утилита Dr.Web CureIt! - Незаменимое средство для лечения Вашего компьютера от вирусов и нежелательных программ при помощи антивируса Dr.Web

Что такое Dr.Web CureIt!?
Это бесплатный антивирусный сканер на основе ядра Dr.Web, который быстро и эффективно проверит и вылечит, в случае необходимости, компьютеры под управлением операционных систем MS Windows 95OSR2/98/98SE/Me/NT4/2000/XP/2003/2003R2 без установки антивируса Dr.Web.


Dr.Web CureIT! автоматически определяет язык используемой операционной системы (в случае, если локальный язык не поддерживается, устанавливается английский язык). Перечень поддерживаемых языков и история развития утилиты Dr.Web CureIT!.

Утилита содержит самые последние обновления к вирусной базе Dr.Web, обновляемой дважды в час.

Dr.Web CureIT! определяет и удаляет
* Почтовые черви * Сетевые черви * Файловые вирусы * Троянские программы * Стелс-вирусы* Полиморфные вирусы* Бестелесные вирусы* Макро-вирусы* Вирусы, поражающие документы MS Office * Скрипт-вирусы * Шпионское ПО (Spyware) * Программы-похитители паролей * Программы-дозвонщики* Рекламное ПО (Adware) * Потенциально опасное ПО * Хакерские утилиты * Программы-люки * Клавиатурные шпионы* Программы-шутки * Вредоносные скрипты * Другие нежелательные коды*

Как используется Dr.Web CureIt!?
Просто загрузите Dr.Web CureIt! с нашего сайта и запустите на исполнение. На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска. Если необходимо просканировать жесткие диски компьютера, выделите в дереве каталогов (центральное окно сканера) объекты для проверки и нажмите кнопку "Начать проверку" в правом нижнем углу окна сканера.

При запуске утилиты в командной строке можно указывать параметры для сканера, т.е. задавать конкретные объекты для проверки и режимы, уточняющие или изменяющие используемые по умолчанию.

При сканировании зараженные файлы будут излечены, а неизлечимые - перемещены в карантин. По окончании проверки остаются доступны файл отчета и сам карантин.

Можно ли обновлять Dr.Web CureIt!?
Лечащая утилита Dr.Web CureIt! вылечит инфицированную систему, но она не является постоянным средством для защиты компьютера от вирусов. Утилита всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз. Поставляемые с утилитой Dr.Web CureIt! обновления вирусных баз актуальны только до выхода нового дополнения (как правило, дополнения к вирусным базам Dr.Web выпускаются дважды в час). Для того, чтобы просканировать компьютер утилитой Dr.Web CureIt! в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!. Для этого на первом экране утилиты присутствует ссылка, непосредственно ведущая на наш ftp-сервер, где расположена актуальная версия CureIt! Скачайте ее и повторно запустите."

 

[sirota0]

К посту №5. Понятно, зря я на сына грешил, почта только на моей винде.

 

[sirota0]

Bobson, установил, он что то быстренько так отреагировал, внизу синяя полоска работала, а теперь стоит без движения, хотя надпись идёт проверка осталась. Почему он не показывает индикатором уровень проверки или так и должно быть и он просто закончил уже работу и его можно отключить?

 

[Bobson]

Bobson, установил, он что то быстренько так отреагировал, внизу синяя полоска работала, а теперь стоит без движения, хотя надпись идёт проверка осталась. Почему он не показывает индикатором уровень проверки или так и должно быть и он просто закончил уже работу и его можно отключить?

При запуске он проверяет память, а затем ему, как и обычному DrWeb-у надо указать, что проверять, т.е. указать диски или папки...

P.S. Память он может проверять, особенно на медленных машинах, до нескольких минут!

 

[sirota0]

А забыл сказать, что ничего не нажимается и не выделяется. Вобще не реагирует, попробовал его закрыть - ноль эмоций, продолжает висеть на экране.
Ad-aware 6 тоже, доходит примерно до середины и проверки и виснет, ни с места.

 

[Bobson]

Можно ещё попробовать очень хорошую утилиту McAfee AVERT Stinger. Меня выручала нераз!

Взять можно вот Для просмотра ссылки Войди или Зарегистрируйся

 

[sirota0]

Всё, жена уже одетая стоит, на дачу с проверкой собралась. После обеда попробую теперь эту прогу. Спасибо.

 

[sirota0]

McAfee AVERT Stinger сработал, вот что он выдал

Это означает, что у меня 55 вирусов? Он их только обнаружил? А как вылечить или удалить? Попробовал открыть List Viruses - не открывается пишет

 

[STF]

Попробуйте еще зайти сюда: Для просмотра ссылки Войди или Зарегистрируйся
Прочитать и выполнить: Для просмотра ссылки Войди или Зарегистрируйся
Здесь ребята занимаются отловом и избавлением ваших машин от разных злыдней.
Насколько знаю многим помогало.

 

[STF]

Еще самым логичным было бы зайти в безопасном режиме и оттуда запустить, сканер Dr.Web или Ad-Aware. Скорей всего зависаний антивируса тогда не будет, просканировать всю систему и соответственно удалить эту дрянь