Brontok … Вы можете жить? знак равно

Brontok…Жить можно? =

  1. Имелась аналогичная проблема, исправил за минуту с помощью этого:
  2. он у тебя в файлах с картинками живет.. . прикидывается картинками )
    лучше винду переставить
  3. Ну бороться с ним легко посмотри в каком он сидит файле и временно пошли в карантин ( не выключай) когда все сделаешь просто поменяй скорость гигогерц на антивирус больше чем на сам вирус и вытаскивай его из карантина и удаляй данный вирус! Все должно пройти успешно, жить будешь! Заранее удачи))
  4. Проверь Cureit Dr WebЗДЕСЬ
  5. Email-Worm.Win32.Brontok.a
    Другие версии: .q
    Другие названия

    Email-Worm.Win32.Brontok.a (Лаборатория Касперского ) также известен как: W32/[email protected] (McAfee), [email protected] (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV), [email protected] (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset) Детектирование добавлено 12 окт 2005 17:16 MSK
    Обновление выпущено 12 окт 2005 21:22 MSK
    Описание опубликовано 01 фев 2006
    Поведение Email-Worm, почтовый червь
    Технические детали

    Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

    Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
    Инсталляция

    При инсталляции червь копирует себя в следующие каталоги со следующими именами:
    %Documents and Settings%UserLocal SettingsApplication Datacsrss.exe
    %Documents and Settings%UserLocal SettingsApplication Datainetinfo.exe
    %Documents and Settings%UserLocal SettingsApplication Datalsass.exe
    %Documents and Settings%UserLocal SettingsApplication Dataservices.exe
    %Documents and Settings%UserLocal SettingsApplication Datasmss.exe
    %Documents and Settings%UserLocal SettingsApplication Datawinlogon.exe
    %Documents and Settings%UserStart MenuProgramsStartupEmpty.pif
    %Documents and Settings%UserTemplatesWowTumpeh.com
    %System%lt;Имя пользователяgt;s Setting.scr
    %Windir%eksplorasi.pif
    %Windir%ShellNewbronstab.exe

    После чего червь регистрирует себя в ключе автозапуска системного реестра:
    HKLMSoftwareMicrosoftWindowsCurrentVersionRun
    «Bron-Spizaetus»=»%Windir%ShellNewbronstab.exe»

    HKLMSoftwareMicrosoftWindowsCurrentVersionRun
    «Tok-Cirrhatus»=»%Documents and Settings%UserLocal SettingsApplication Datasmss.exe»

    HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
    «Shell»=»Explorer.exe %Windir%eksplorasi.pif»

    При каждой следующей загрузке Windows автоматически запустит файл червя.

    Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
    HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
    «NoFolderOptions»=»1»

    HKCUSoftwareMicrosoftWindowsCurrentVersionexploreradvanced
    «Hidden»=»0»
    «ShowSuperHidden»=»0»
    «HideFileExt»=»1»

    HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
    «DisableRegistryTools»=»1»
    «DisableCMD»=»0»

    Также червь создает следующую папку:
    %Documents and Settings%UserLocal SettingsApplication DataBron.tok-XX

    XX 2 случайные цифры.
    Распространение через email

    Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
    asp
    cfm
    csv
    doc
    eml
    html
    php
    txt
    wab

    При этом червем игнорируются адреса, содержащие следующие подстроки:
    ADMIN
    AHNLAB
    ALADDIN
    ALERT
    ALWIL
    ANTIGEN
    ASSOCIATE
    AVAST
    AVIRA
    [email protected]
    BUILDER
    CILLIN
    CONTOH
    CRACK
    DATABASE
    DEVELOP
    ESAFE
    ESAVE
    ESCAN
    EXAMPLE
    GRISOFT
    HAURI
    [email protected]
    LINUX
    MASTER
    MICROSOFT
    NETWORK
    NOD32
    NORMAN
    NORTON
    PANDA
    PROGRAM
    PROLAND
    PROTECT
    ROBOT
    SECURITY
    SOURCE
    SYBARI
    SYMANTEC
    TRUST
    UPDATE
    VAKSIN
    VAKSIN
    VIRUS

    При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
    Характеристики зараженных писем
    Тема письма:
    lt;пустое полеgt;
    Имя файла-вложения:
    Kangen.exe
    Прочее

    Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
    .exe
    Registry

    www.viruslist.ru — очень полезная вещь

  6. Скачать утилиту AVZ, в меню файл, выполнить скрипт, в окно копируем скрипт, жмм выполнить, далее перегрузка.

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile(C:WINDOWSSystem32bronto.dll,);
    QuarantineFile(C:WINDOWSSystem32proper.exe,);
    QuarantineFile(C:WINDOWSsystem32sol678.txt,);
    QuarantineFile(C:WINDOWSTempstartdrv.exe,);
    QuarantineFile(C:WINDOWSSystem32winter.exe,);
    QuarantineFile(C:Program FilesCommon FilesTrustedAntivirusbm.exe,);
    QuarantineFile(C:PROGRA1ErrCleanucookw.exe,);
    QuarantineFile(SystemRootsystem32driversruntime2.sys,);
    QuarantineFile(c:program filescommon fileserrcleanstrpmon.exe,);
    QuarantineFile(c:windowssystem32spoolc.exe,);
    DeleteFile(c:windowssystem32spoolc.exe);
    DeleteFile(SystemRootsystem32driversruntime2.sys);
    DeleteFile(C:WINDOWSsystem32ntio256.sys);
    DeleteFile(C:WINDOWSSystem32winter.exe);
    DeleteFile(C:WINDOWSTempstartdrv.exe);
    DeleteFile(C:WINDOWSsystem32sol678.txt);
    DeleteFile(C:WINDOWSSystem32proper.exe);
    DeleteFile(C:WINDOWSSystem32bronto.dll);
    BC_DeleteSvc(runtime2);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *