Перейти к содержанию

Помогите удалить braviax [LOG+]


Рекомендуемые сообщения

Не могу удалить этот пакостный вирус. При попытке запустить CureIT комп вырубается. NOD32 не устанавливается. После использования AVZ сообщение "Your computer is infected" вроде исчезло, но файл braviax.exe после перезагрузки снова появляется. и на диске и в процессах. Логи прилагаются.

 

hijackthis.logvirusinfo_syscheck.zip virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);	 
QuarantineFile('C:\WINDOWS\System32\drivers\693d0ce.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\693d0ce.sys');	
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);									 
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Файл ntfs.sys нужно заменить на чистый из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного.

 

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Также ждем логи AVZ (после замены ntfs.sys).

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, вроде победил вирусы. Во всяком случае, сообщение не выскакивает и антивирусник установился

virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.logGmer.log

Изменено пользователем Skif
Ссылка на сообщение
Поделиться на другие сайты

Пофиксить в HiJack

 O20 - AppInit_DLLs: cru629.dat

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe','');
DeleteFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true);
DeleteDirectory('C:\Program Files\PC_Antispyware2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в эти строках %fystemRoot% на %systemRoot%

 

Сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...