Помогите удалить braviax [LOG+]

[Skif]

Не могу удалить этот пакостный вирус. При попытке запустить CureIT комп вырубается. NOD32 не устанавливается. После использования AVZ сообщение "Your computer is infected" вроде исчезло, но файл braviax.exe после перезагрузки снова появляется. и на диске и в процессах. Логи прилагаются.

 

hijackthis.logvirusinfo_syscheck.zip virusinfo_syscure.zip

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);	 
QuarantineFile('C:\WINDOWS\System32\drivers\693d0ce.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\693d0ce.sys');	
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);									 
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Файл ntfs.sys нужно заменить на чистый из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного.

 

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Также ждем логи AVZ (после замены ntfs.sys).

[Skif]

Спасибо, вроде победил вирусы. Во всяком случае, сообщение не выскакивает и антивирусник установился

virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.logGmer.log

Изменено 20 августа, 2009 пользователем Skif

[thyrex]

Пофиксить в HiJack

 O20 - AppInit_DLLs: cru629.dat

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe','');
DeleteFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true);
DeleteDirectory('C:\Program Files\PC_Antispyware2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в эти строках %fystemRoot% на %systemRoot%

 

Сделайте новые логи