В последнее время получил распространение троян основными компонентами которого являются файлы braviax.exe, cru629.dat, users32.dat. Этот троян сам по себе не повреждает ваш компьютер, но он может загружать дополнительные модули, прокси серверы, кейлоггеры и многое другое.
Основные признаки заражения:
- вам предложено купить специальную программу для удаления троянов/спайваре, причём это предложение часто появляется перед вами.
- появление множества внезапно выскакивающих окон с различной рекламой.
- увеличение исходящего трафика.
- появление привлекающих внимание иконок на панели задач.
Таким образом, надо лечить ваш компьютер немедленно.
Подтвердить наличие инфекции можно скачав программу HijackThis и просканировав ей ваш компьютер. В случае заражения вы увидите похожие строчки:
O4 — HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O20 — AppInit_DLLs: cru629.dat
Так же если ваш компьютер ведет себя нестандартно, попробуйте выполнить поиск файла braviax.exe, не пытайтесь его удалить вручную. Нет смысла, после перезагрузки он будет восстановлен. Так же и с файлами cru629.dat и users32.dat.
Как удалить braviax.exe/cru629.dat/users32.dat троян:
Чтобы излечиться от этой заразы вам понадобятся несколько бесплатных анти спайварных программ. Это SDFix и ComboFix.
Скачайте SDFix, после чего кликните по файлу, он автоматически распакуется в каталог SDFix, который будет создан на вашем системном диске (диск на котором находиться каталог Windows).
Перезагрузите компьютер в безопасном режиме.
Откройте каталог SDFix и дважды кликните по файлу RunThis.bat.
Нажмите клавишу Y для подтверждения начала процесса очистки. Программа начнет поиск и удаление шпионов, троянов и тд. По окончании этого процесса, вам нужно нажать любую клавишу для перезагрузки компьютера. После того как компьютер загрузиться, эта программа автоматически запуститься и продолжит процесс поиска и удаления. По его окончании будет показано сообщение об этом, нажмите любую клавишу, программа закроется и откроется ваш рабочий стол.
Закройте все запущенные программы. Запустите ComboFix. Я не буду останавливаться на том как и зачем использовать Combofix, просто в подтверждайте свои действия когда программа будет спрашивать разрешение на выполнение того или иного действия.
Основную работы выполнит программа Sdfix, Combofix только подчистит то, что этот троян успел натащить к вам на компьютер.
Примечание 1: некоторые версии трояна не позволяют запускать анти спайварные программы, столкнувшись с этим попробуйте переименовать нужную программу и запустить ее снова.
Примечание 2: при разборке логов и помощи людям на форуме, я так же столкнулся с тем, что попадаются случаи когда сам braviax, то ли его модуль инфицирует легальные файлы, эти файлы Combofix показывает как зараженные Win32.Agent.zb и тогда единственная возможность избавиться от трояна это переустановить эти программы и конечно же удалить троян с компьютера.
Примечание 3: можно ли удалить троян без SDFix ? можно, но сложно 😉 для этого необходимо анализировать ваш компьютер и писать специальный скрипт.
Примечание 4: Sdfix желательно запускать в безопасном режиме, я уже писал как в него заходить и что делать если спайваре блокировало безопасный режим.
К сожалению существуют случаи инфицирования, когда после выполнения описанной выше инструкции, какие-то части троянов/вирусов/спайваре остаются. В этом случае прочитайте следующий топик.
Просьба помочь.
Безопасный режим невозможно запустить. Приведенные программы для этого в Примечание 4 — не помогают.WinXP Home. Nod32 лиц.
sdfix соответственно не запустить. попробовал combofix — отработало. даже перестало вылезать окно соощения о тревоге. но braviax лежит на месте и его удаление как и users32.dat понятно что бессмысленно — снова появляются.
Создайте топик на нашем антиспайварном форуме, приложите так же combofix и HijackThis логи.
Нужная инструкция , столкнулся с этим троянчегом , сделал всё по инструкции и терь всё чики-пуки
Огромное спасибо! По инструкции удалил braviax. Странно, почему DrWeb его не обнаружил? Доктор все время пытается удалить файлы которые троян генерирует, кстати распознает его как Trojan.Fakealert.728
Не помогли эти програмки, что делать подскажите плизз.
возможно в вашем случае инфекция более серьезная, остается одно — анализировать логи
А как анализировать логи?
что то сделал я топик на форуме а ответов так и неполучил. Форум вообще работает или нет?
ЙУХУУУ!!! Спасибо вам ОГРОМНОЕ! Надоело жить с тов. Бравиаксом…
Нод32 оказался абсолютно бессилен, зато вы помогли!
Андрей, я ответил вам на форуме.
Вполне удаляется вручную braviax.exe.
Нужно только выключить его из автозагрузки и перегрузиться, затем удалить.
braviax.exe это только один из компонентов, в большинстве случаев его удаления недостаточно
Спасибо огромное… Все прошло… Компьютер стал «летать»
рад помочь 😉
11
Автор: Сергей | Дата: Сентябрь 1, 2008 | Время: 6:59 пп
Вполне удаляется вручную braviax.exe.
Нужно только выключить его из автозагрузки и перегрузиться, затем удалить.
=================
Так не удаляется! Видимо у Вас ещё заражение как следует не произошло:) Убираешь его из автозагрузки — он снова себя туда запихивает. Разными программками пробовал и стандартным msconf..
Валерий, огромный Вам, что называется, респект!) Всё случилось)
Поймал его у клиента. был закачан от runauto.. вместе с ещё кучей друзей. спайбот всех нашёл и убил.
Сделал всё по Вашей инструкции. Спасибо огромное, помогло. Я избавился от braviax.
Спасибыч, я наконец-то убил эту тварь! ^^
Отличная инструкция, мне повезло распознать braviax сразу после заражения, а благодаря вам отделался легким испугом. Респект огромнейший!!
огромное спасибо за информацию! так просто и быстро вы помогли избавиться от этой заразы! преогромное вам еще раз!
правда мучает еще одна проблемка. ничем не могу освободиться от какой то заразы, которая сама нажимает кнопку enter. это происходит после запуска компьютера (ноутбук) и в режиме работы встроенного устройства мышь. причем сама кнопка левая не работает при этом. это происходит не регулярно, периодичекси. может это было в вашей практике?
еще раз огромное человеческое спасибо!
Нет, с таким явлением я не встречался, но можно взглянуть на ваш компьютер по-лучше. Прочитайте этот топик на нашем форуме.
валерий, благодарю за информацию, но к сожалению, я видно полный чайник в этих делах, и что отсепарировать из выбранного hidjacj мне не под силу. буду ждать возвращения в родные стены. а там обращусь к спецам. еще раз благодарен!!!!
вам «сепарировать» ничего не нужно. Достаточно прочитать топик, скачать и запустить HijackThis, а получившийся лог файл добавить в созданный на форуме новый топик.
спасиб огромное за помощь
Спасибо за инструкцию!
Помогло частично. Файла cru629.dat не было, но был karina.dat. Справился благодаря
этому.
спасибо огромное за доскональное объяснение в избавлении гадостей!!! Золотой вы человек!!!
Огромное спасибо! А то уже думал что придётся систему переустанавливать.Удачи!
Если не грузится безопасный режим — были удалены соотв. ключи реестра… Их можно тайти в Интернет. В гугле к примеру по запросу «Windows не грузится в безопасном режиме»
Очень благодарен.
Помогло!
От braviax.exe избавиться удалось легко.
Но в автозагрузке появился неубиваемый rncsys32.exe .
Dr.Web CureIt! нашел несколько зараженных файлов но rncsys32.exe оставил без внимания.
Dr.Web LiveCD сканировал ооочень долго. Но до вирусов не доходил — \
Попробуйте Malwarebytes` Anti-malware. Если не поможет, то обратитесь на наш форум.
Спасибо огромное!! Оч помогло.
Все сделал по инструкции. Не помогают СДфикс и Комбофикс!!!((( Чет там долго-долго делает, потом вроде нет заразы. После выключения/включения компа снова появляется! С Malwarebytes` Anti-malware таже фигня — видит, чистит но после нового включения (не перезагрузки) бравиакс снова на месте. Че терь делать?, помогите, плизз!!!
Всем привет! Вполне удаляется вручную braviax.exe.
Нужно только выключить его из автозагрузки и перегрузиться, затем удалить.
===================
И это правда! я его удалил на раз! …. без всяких программ!
DEN, обратитесь на наш форум.
Здравствуйте. столкнулись с этим еб…м braviax.exe
второй день ничего не можем сделать
пользовались
проверяли hijackthis
удаляли с avz
удаляли с Sdfix, Combofix (всё по инструкции)
удаляли с Spybot — Search & Destroy
и кажется всё ок, вируса нет, но стоит подключитьса к инету СНОВА появляется красный крест в трее Your computer is infected
Что ещё делать не знаем
вирус явно сам себя заново закачивает
ещё рекомендовали анализировать логи.. понятия не имеем что это
подскажите как быть плиз
спасибо
Совет тут один 🙂
Обратитесь на наш форум, проанализируем логи.
Здравствуйте!помогите плиз!подхватила braviax.exe,в поисках решения праблы нашла вас:),скачала SDFix ,кликаю по файлу,появляется блокнот-Installed.txt,что дальше делать?не понимаю:(help!!!
Уф… вроди победило 😀
Статья отличная. Правда первые потуги его победить дали только частичную победу.
После прогона через HijackThis,SDFix и ComboFix (пришлось переименовывать их)убилась часть отвечающая за показ окошек и блокирование процессов, но восстанавливать себя он не перестал. Второй прогон добил полностью 🙂
Ольга, лучше обратитесь на наш форум, где вам распишут более подробно, что и как делать.
Не могу открыть Sdfix — пишет что оно не является приложением Win32. Что делать??
Спасибо за совет. Хотя файлы удалил ручками при помощи Unlocker’а. После перезагрузки ничего не восстановилось.:)
Ну красавчики, спасибо вам большое.
предложу свой вариант чистки от этого вируса:
загружаемся любым альтернативным вариантом (я пользовался LiveCD, WinPE)
пользуемся поиском, удаляем в ручную (braviax лежит в 3-х местах)))
далее используя софт WinPE чистим реестр, так же используя поиск.
Мне помогло несколько раз (т.е. на нескольких машинах)
правда мусор оставшийся после них остается, но я его не видел
Здравствуйте , что я только не делал по всем вышеописанным инструкциям. Многое повторялось как и у других.
Решение проблемы оказалось здесь:
главный файл beep.sys (он подмененный)
скрипты запускал через AVZ4 (в гугле есть)
+прога HijackThis на этом сайте есть.
http://forum.windowsfaq.ru/archive/index.php/t-116263.html
Сергей, большинство инструкций берут начало как раз из этой 🙂
SDFix и Combofix определяют и восстанавливают оригинальный beep.sys.
Так же существуют версии braviax, которые подменяют другие системные файлы Windows, например ntfs.sys.
Все работает! Мой каспер снова заработал! Спасибо за прогу!Молодци! по боьше бы таких как вы!
Ничего не получается. Скачала SdFix. Автоматически он не запустился и не распаковался. Как-то распаковала его вручную. Запустила комп в безопасном режиме. Нажала на требуемый файл. Ничего не произошло. Перезагрузилась, отключила полностью антивирусник, все повторила, даже заново скачала SDFix в другой каталог. Ничего не происходит, программа не запускается. И что теперь делать?
Виктория, возможно вирусы блокируют работу программы. Обратитесь на наш форум за помощью.
спс… сделал почти все.. кроме Combofix я запускаю его жму да и дальше следует…
!!ALERT !! it is not safe to continue!
The contents of the combofix package has been compromised.
Please download a fresh copy from:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Note: You may be infected with a file patching virus \
Это сообщение сигнализирует о том, что combofix.exe повреждён или изменилась его контрольная сумма. Возможно компьютер заражён ещё каким-то трояном, который динамически инфицирует .exe файлы. Попробуйте использовать DRWeb Cureit или Kaspersky Virus Removal Tool (AVP Tool).