Статьи Комментарии

Инструкции &Трояны Валерий : 2008-04-25

Как удалить braviax.exe/cru629.dat/users32.dat троян с вашего компьютера

В последнее время получил распространение троян основными компонентами которого являются файлы braviax.exe, cru629.dat, users32.dat. Этот троян сам по себе не повреждает ваш компьютер, но он может загружать дополнительные модули, прокси серверы, кейлоггеры и многое другое.
Основные признаки заражения:

  • вам предложено купить специальную программу для удаления троянов/спайваре, причём это предложение часто появляется перед вами.
  • появление множества внезапно выскакивающих окон с различной рекламой.
  • увеличение исходящего трафика.
  • появление привлекающих внимание иконок на панели задач.

Таким образом, надо лечить ваш компьютер немедленно.
Подтвердить наличие инфекции можно скачав программу HijackThis и просканировав ей ваш компьютер. В случае заражения вы увидите похожие строчки:

O4 – HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O20 – AppInit_DLLs: cru629.dat

Так же если ваш компьютер ведет себя нестандартно, попробуйте выполнить поиск файла braviax.exe, не пытайтесь его удалить вручную. Нет смысла, после перезагрузки он будет восстановлен. Так же и с файлами cru629.dat и users32.dat.

Как удалить braviax.exe/cru629.dat/users32.dat троян:
Чтобы излечиться от этой заразы вам понадобятся несколько бесплатных анти спайварных программ. Это SDFix и ComboFix.
Скачайте SDFix, после чего кликните по файлу, он автоматически распакуется в каталог SDFix, который будет создан на вашем системном диске (диск на котором находиться каталог Windows).

Перезагрузите компьютер в безопасном режиме.
Откройте каталог SDFix и дважды кликните по файлу RunThis.bat.
Нажмите клавишу Y для подтверждения начала процесса очистки. Программа начнет поиск и удаление шпионов, троянов и тд. По окончании этого процесса, вам нужно нажать любую клавишу для перезагрузки компьютера. После того как компьютер загрузиться, эта программа автоматически запуститься и продолжит процесс поиска и удаления. По его окончании будет показано сообщение об этом, нажмите любую клавишу, программа закроется и откроется ваш рабочий стол.

Закройте все запущенные программы. Запустите ComboFix. Я не буду останавливаться на том как и зачем использовать Combofix, просто в подтверждайте свои действия когда программа будет спрашивать разрешение на выполнение того или иного действия.

Основную работы выполнит программа Sdfix, Combofix только подчистит то, что этот троян успел натащить к вам на компьютер.

Примечание 1: некоторые версии трояна не позволяют запускать анти спайварные программы, столкнувшись с этим попробуйте переименовать нужную программу и запустить ее снова.

Примечание 2: при разборке логов и помощи людям на форуме, я так же столкнулся с тем, что попадаются случаи когда сам braviax, то ли его модуль инфицирует легальные файлы, эти файлы Combofix показывает как зараженные Win32.Agent.zb и тогда единственная возможность избавиться от трояна это переустановить эти программы и конечно же удалить троян с компьютера.

Примечание 3: можно ли удалить троян без SDFix ? можно, но сложно ;) для этого необходимо анализировать ваш компьютер и писать специальный скрипт.

Примечание 4: Sdfix желательно запускать в безопасном режиме, я уже писал как в него заходить и что делать если спайваре блокировало безопасный режим.

К сожалению существуют случаи инфицирования, когда после выполнения описанной выше инструкции, какие-то части троянов/вирусов/спайваре остаются. В этом случае прочитайте следующий топик.

Комментариев (54)

Комментарии

  1. Дата:2008-06-29 23:16 1. Автор:DUSHmAn

    Просьба помочь.
    Безопасный режим невозможно запустить. Приведенные программы для этого в Примечание 4 – не помогают.WinXP Home. Nod32 лиц.
    sdfix соответственно не запустить. попробовал combofix – отработало. даже перестало вылезать окно соощения о тревоге. но braviax лежит на месте и его удаление как и users32.dat понятно что бессмысленно – снова появляются.

  2. Дата:2008-06-30 7:20 2. Автор:Валерий

    Создайте топик на нашем антиспайварном форуме, приложите так же combofix и HijackThis логи.

  3. Дата:2008-07-03 9:38 3. Автор:Прогер

    Нужная инструкция , столкнулся с этим троянчегом , сделал всё по инструкции и терь всё чики-пуки

  4. Дата:2008-08-01 14:45 4. Автор:nealex

    Огромное спасибо! По инструкции удалил braviax. Странно, почему DrWeb его не обнаружил? Доктор все время пытается удалить файлы которые троян генерирует, кстати распознает его как Trojan.Fakealert.728

  5. Дата:2008-08-04 5:20 5. Автор:Андрей

    Не помогли эти програмки, что делать подскажите плизз.

  6. Дата:2008-08-04 7:39 6. Автор:Валерий

    возможно в вашем случае инфекция более серьезная, остается одно – анализировать логи

  7. Дата:2008-08-06 4:02 7. Автор:Андрей

    А как анализировать логи?

  8. Дата:2008-08-07 10:10 8. Автор:Андрей

    что то сделал я топик на форуме а ответов так и неполучил. Форум вообще работает или нет?

  9. Дата:2008-08-08 5:44 9. Автор:Васёк

    ЙУХУУУ!!! Спасибо вам ОГРОМНОЕ! Надоело жить с тов. Бравиаксом…
    Нод32 оказался абсолютно бессилен, зато вы помогли!

  10. Дата:2008-08-12 3:32 10. Автор:Валерий

    Андрей, я ответил вам на форуме.

  11. Дата:2008-09-01 18:59 11. Автор:Сергей

    Вполне удаляется вручную braviax.exe.
    Нужно только выключить его из автозагрузки и перегрузиться, затем удалить.

  12. Дата:2008-09-01 19:40 12. Автор:Валерий

    braviax.exe это только один из компонентов, в большинстве случаев его удаления недостаточно

  13. Дата:2008-09-08 0:43 13. Автор:Александр

    Спасибо огромное… Все прошло… Компьютер стал «летать»

  14. Дата:2008-09-08 0:51 14. Автор:Валерий

    рад помочь ;)

  15. Дата:2008-09-08 4:03 15. Автор:Stranger181

    11
    Автор: Сергей | Дата: Сентябрь 1, 2008 | Время: 6:59 пп
    Вполне удаляется вручную braviax.exe.
    Нужно только выключить его из автозагрузки и перегрузиться, затем удалить.
    =================
    Так не удаляется! Видимо у Вас ещё заражение как следует не произошло:) Убираешь его из автозагрузки – он снова себя туда запихивает. Разными программками пробовал и стандартным msconf..
    Валерий, огромный Вам, что называется, респект!) Всё случилось)

  16. Дата:2008-09-08 7:11 16. Автор:LightSpektr

    Поймал его у клиента. был закачан от runauto.. вместе с ещё кучей друзей. спайбот всех нашёл и убил.

  17. Дата:2008-09-08 9:32 17. Автор:Евгений

    Сделал всё по Вашей инструкции. Спасибо огромное, помогло. Я избавился от braviax.

  18. Дата:2008-09-09 2:48 18. Автор:Omega_Z

    Спасибыч, я наконец-то убил эту тварь! ^^

  19. Дата:2008-09-09 11:25 19. Автор:Lex88

    Отличная инструкция, мне повезло распознать braviax сразу после заражения, а благодаря вам отделался легким испугом. Респект огромнейший!!

  20. Дата:2008-09-11 1:30 20. Автор:SERGIO

    огромное спасибо за информацию! так просто и быстро вы помогли избавиться от этой заразы! преогромное вам еще раз!
    правда мучает еще одна проблемка. ничем не могу освободиться от какой то заразы, которая сама нажимает кнопку enter. это происходит после запуска компьютера (ноутбук) и в режиме работы встроенного устройства мышь. причем сама кнопка левая не работает при этом. это происходит не регулярно, периодичекси. может это было в вашей практике?
    еще раз огромное человеческое спасибо!

  21. Дата:2008-09-11 5:16 21. Автор:Валерий

    Нет, с таким явлением я не встречался, но можно взглянуть на ваш компьютер по-лучше. Прочитайте этот топик на нашем форуме.

  22. Дата:2008-09-11 7:21 22. Автор:SERGIO

    валерий, благодарю за информацию, но к сожалению, я видно полный чайник в этих делах, и что отсепарировать из выбранного hidjacj мне не под силу. буду ждать возвращения в родные стены. а там обращусь к спецам. еще раз благодарен!!!!

  23. Дата:2008-09-11 7:30 23. Автор:Валерий

    вам «сепарировать» ничего не нужно. Достаточно прочитать топик, скачать и запустить HijackThis, а получившийся лог файл добавить в созданный на форуме новый топик.

  24. Дата:2008-09-14 4:13 24. Автор:ziozik

    спасиб огромное за помощь

  25. Дата:2008-09-20 8:53 25. Автор:Maks

    Спасибо за инструкцию!
    Помогло частично. Файла cru629.dat не было, но был karina.dat. Справился благодаря
    этому.

  26. Дата:2008-09-22 8:25 26. Автор:АЛЕКСАНДР

    спасибо огромное за доскональное объяснение в избавлении гадостей!!! Золотой вы человек!!!

  27. Дата:2008-10-13 4:59 27. Автор:Den

    Огромное спасибо! А то уже думал что придётся систему переустанавливать.Удачи!

  28. Дата:2009-06-25 6:33 28. Автор:SergeyVR

    Если не грузится безопасный режим – были удалены соотв. ключи реестра… Их можно тайти в Интернет. В гугле к примеру по запросу «Windows не грузится в безопасном режиме»

  29. Дата:2009-07-24 12:31 29. Автор:Вадим

    Очень благодарен.
    Помогло!
    От braviax.exe избавиться удалось легко.
    Но в автозагрузке появился неубиваемый rncsys32.exe .
    Dr.Web CureIt! нашел несколько зараженных файлов но rncsys32.exe оставил без внимания.
    Dr.Web LiveCD сканировал ооочень долго. Но до вирусов не доходил – \

  30. Дата:2009-07-25 8:47 30. Автор:Валерий

    Попробуйте Malwarebytes` Anti-malware. Если не поможет, то обратитесь на наш форум.

  31. Дата:2009-08-04 4:39 31. Автор:Stan

    Спасибо огромное!! Оч помогло.

  32. Дата:2009-08-08 9:06 32. Автор:DEN

    Все сделал по инструкции. Не помогают СДфикс и Комбофикс!!!((( Чет там долго-долго делает, потом вроде нет заразы. После выключения/включения компа снова появляется! С Malwarebytes` Anti-malware таже фигня – видит, чистит но после нового включения (не перезагрузки) бравиакс снова на месте. Че терь делать?, помогите, плизз!!!

  33. Дата:2009-08-14 4:02 33. Автор:Optovik

    Всем привет! Вполне удаляется вручную braviax.exe.
    Нужно только выключить его из автозагрузки и перегрузиться, затем удалить.
    ===================
    И это правда! я его удалил на раз! …. без всяких программ!

  34. Дата:2009-08-14 7:31 34. Автор:Валерий

    DEN, обратитесь на наш форум.

  35. Дата:2009-08-15 5:47 35. Автор:v.i.

    Здравствуйте. столкнулись с этим еб…м braviax.exe
    второй день ничего не можем сделать
    пользовались
    проверяли hijackthis
    удаляли с avz
    удаляли с Sdfix, Combofix (всё по инструкции)
    удаляли с Spybot – Search & Destroy
    и кажется всё ок, вируса нет, но стоит подключитьса к инету СНОВА появляется красный крест в трее Your computer is infected
    Что ещё делать не знаем
    вирус явно сам себя заново закачивает
    ещё рекомендовали анализировать логи.. понятия не имеем что это
    подскажите как быть плиз
    спасибо

  36. Дата:2009-08-15 7:38 36. Автор:Валерий

    Совет тут один :)
    Обратитесь на наш форум, проанализируем логи.

  37. Дата:2009-08-15 11:40 37. Автор:Ольга

    Здравствуйте!помогите плиз!подхватила braviax.exe,в поисках решения праблы нашла вас:),скачала SDFix ,кликаю по файлу,появляется блокнот-Installed.txt,что дальше делать?не понимаю:(help!!!

  38. Дата:2009-08-15 18:38 38. Автор:Teren

    Уф… вроди победило :D
    Статья отличная. Правда первые потуги его победить дали только частичную победу.
    После прогона через HijackThis,SDFix и ComboFix (пришлось переименовывать их)убилась часть отвечающая за показ окошек и блокирование процессов, но восстанавливать себя он не перестал. Второй прогон добил полностью :)

  39. Дата:2009-08-15 23:10 39. Автор:Валерий

    Ольга, лучше обратитесь на наш форум, где вам распишут более подробно, что и как делать.

  40. Дата:2009-08-16 3:56 40. Автор:Ярик

    Не могу открыть Sdfix – пишет что оно не является приложением Win32. Что делать??

  41. Дата:2009-08-16 4:54 41. Автор:Anton

    Спасибо за совет. Хотя файлы удалил ручками при помощи Unlocker’а. После перезагрузки ничего не восстановилось.:)

  42. Дата:2009-08-18 3:09 42. Автор:West

    Ну красавчики, спасибо вам большое.

  43. Дата:2009-08-19 1:28 43. Автор:Kivi

    предложу свой вариант чистки от этого вируса:
    загружаемся любым альтернативным вариантом (я пользовался LiveCD, WinPE)
    пользуемся поиском, удаляем в ручную (braviax лежит в 3-х местах)))
    далее используя софт WinPE чистим реестр, так же используя поиск.

    Мне помогло несколько раз (т.е. на нескольких машинах)
    правда мусор оставшийся после них остается, но я его не видел

  44. Дата:2009-08-21 13:21 44. Автор:Сергей

    Здравствуйте , что я только не делал по всем вышеописанным инструкциям. Многое повторялось как и у других.
    Решение проблемы оказалось здесь:
    главный файл beep.sys (он подмененный)
    скрипты запускал через AVZ4 (в гугле есть)
    +прога HijackThis на этом сайте есть.
    http://forum.windowsfaq.ru/archive/index.php/t-116263.html

  45. Дата:2009-08-23 21:12 45. Автор:Валерий

    Сергей, большинство инструкций берут начало как раз из этой :)
    SDFix и Combofix определяют и восстанавливают оригинальный beep.sys.
    Так же существуют версии braviax, которые подменяют другие системные файлы Windows, например ntfs.sys.

  46. Дата:2009-08-27 4:54 46. Автор:Salah_KZ

    Все работает! Мой каспер снова заработал! Спасибо за прогу!Молодци! по боьше бы таких как вы!

  47. Дата:2009-09-04 0:48 47. Автор:Виктория

    Ничего не получается. Скачала SdFix. Автоматически он не запустился и не распаковался. Как-то распаковала его вручную. Запустила комп в безопасном режиме. Нажала на требуемый файл. Ничего не произошло. Перезагрузилась, отключила полностью антивирусник, все повторила, даже заново скачала SDFix в другой каталог. Ничего не происходит, программа не запускается. И что теперь делать?

  48. Дата:2009-09-04 4:26 48. Автор:Валерий

    Виктория, возможно вирусы блокируют работу программы. Обратитесь на наш форум за помощью.

  49. Дата:2009-09-18 11:33 49. Автор:vlad

    спс… сделал почти все.. кроме Combofix я запускаю его жму да и дальше следует…

    !!ALERT !! it is not safe to continue!
    The contents of the combofix package has been compromised.
    Please download a fresh copy from:
    http://www.bleepingcomputer.com/combofix/how-to-use-combofix
    Note: You may be infected with a file patching virus \

  50. Дата:2009-09-20 1:12 50. Автор:Валерий

    Это сообщение сигнализирует о том, что combofix.exe повреждён или изменилась его контрольная сумма. Возможно компьютер заражён ещё каким-то трояном, который динамически инфицирует .exe файлы. Попробуйте использовать DRWeb Cureit или Kaspersky Virus Removal Tool (AVP Tool).

  51. Дата:2009-09-20 4:09 51. Автор:vlad

    и вот еще после это го вируса у меня возникло куча ошибок при включение и использовании PC например в wmiprvse.exe, logonui.exe, mpnotify.exe, userinit.exe, VistaDrv.exe, imapi.exe, ctfmon.exe, wmiapsrv.exe
    есть ли какая та про
    и стал с какой та радости запрашивать пасс…

  52. Дата:2009-09-20 6:16 52. Автор:Валерий

    vlad, обратитесь на наш форум. Есть версии braviax трояна, для которых нужно дополнительное лечение.

  53. Дата:2009-10-05 10:34 53. Автор:Александр

    Здравствуйте.
    Обнаружен braviax.exe
    Следуя вашим рекомедациям скачал SDFix, но в безопасном режиме программа не запускается. Установлена Windows Vista. Антивирус отключил.
    Есть у вас соображения по дальнейшему плану?
    С уважением
    Александр

  54. Дата:2009-10-07 10:00 54. Автор:Валерий

    Александр, возможно компьютер заражён ещё каким-то трояном, который блокирует запуск SDFix. Обратитесь на наш форум.

Trackbacks | (RSS Feed)

Оставьте комментарий