Перейти к содержанию

не могу справиться с Email-Worm.Win32.Brontok.q


Гелена

Рекомендуемые сообщения

Добрый день.

Через сканер на сайте Касперского обнаружила вирус Email-Worm.Win32.Brontok.q.

( за неимением памяти, к сожалению,антивирусную программу пришлось времено удалить. Т.е. сейчас антивирус не установлен).

В связи с этим у меня вопросы:

1) как установить антивирус?( см. описания вируса: при запуске установочных файлов .ехе и других, а также при доступе к определенным сетевым ресурсам, компьютер перезагружается)

2) видела на сайте утилиту для Email-Worm.Win32.Brontok.n- видимо, она не подойдет?

 

3) поскольку ничего не понимаю в терминологии, типа "ключи", какие-то "системные реестры", не знаю также,как их переписать, чтобы они были правильными..,не знаю, где их найти..

огромная просьба помогающим-описать инструкцию для чайника: зайди туда-то - нажми на то-то, напиши то-то..

 

4) я бы мб эти файлы и сама удалила, но папки с вирусами делаются невидимыми( и если я правильно поняла из описания вируса, это-то как раз и прописывается вирусом в системном реестре..)

Когда я набираю в окне путь к папке, где находится вирус, комп сразу перезагружается..

Ребята, очень прошу помочь!

 

Еще вижу на сайте Касперского есть какие-то утилитки, но как-то надо ими проверять и лечить не все файлы, а выборочно, насколько я поняла..( но это уже, если сумею хотя бы сохранить или установить эту утилитку)..Чтобы не повредить остальные данные что ли..

А вот как это сделать..

 

Буду очень признательна за срочную помощь!

Спасибо!

 

Еще просьба, не отсылать меня к другим темам, не учитывая описание вируса- только пыталась какую-то информацию прочесть- опять вирус на что-то среагировал.. и перезагрузил комп :blink: ( а тему я не запомнила)

Ссылка на комментарий
Поделиться на другие сайты

Здесь все подробно описано, что и как делать для обычного пользователя :blink:

 

Спасибо, я попробую выполнить эту инструкцию..( не знаю, правда, удастся ли установить эти программки.. Ведь как я писала выше, у меня при попытке загрузить что-либо компьютер перезагружается

И еще я не поняла-вроде вирус известный, неужели не существует уже способов борьбы с ним кроме полного форматирования компьютера? И мне надо присылать какие-то протоколы.. Ведь описание данного вируса есть на сайте Касперского.

Можете пояснить?

Ссылка на комментарий
Поделиться на другие сайты

Зайдем с другой стороны :blink:

Попробуйте использовать данную утилитку

 

Спасибо, я попробую выполнить эту инструкцию..( не знаю, правда, удастся ли установить эти программки.. Ведь как я писала выше, у меня при попытке загрузить что-либо компьютер перезагружается

Если есть возможность, загрузите их с другого компьютера

И еще я не поняла-вроде вирус известный, неужели не существует уже способов борьбы с ним кроме полного форматирования компьютера?

Существуют. Ссылку я дал выше. Это самый универсальный способ по борьбе с вредоносами

Изменено пользователем Mydoom
Ссылка на комментарий
Поделиться на другие сайты

Mydoom, спасибо, что пытаетесь мне помочь.

я про данные утилитку и спрашивала в первом сообщении: подойдет она или нет.. у меня ведь вирус, в конце названия которого... q, а не n ((

И к тому же я инструкцию для этой утилитки не поняла- чего-то там непросто как-то изложено((

Поэтому и обратилась за помощью..

 

К сожалению, при загрузке HijackThis, как я и думала, произошла перезагрузка компьютера..и так целых 2 раза(((

Прямо не знаю, что делать.

Где-то стала читать, что якобы файлы можно переименовать с таким именем, чтобы вирус не узнал( ну и имя и расширение вроде бы тоже). А программка даже с помощью переименованного файла будет открываться..И в свойствах надо сделать невидимыми расширения..

Но как раз когда читала, компьютер перезагрузился и не могу найти эту информацию..

Другое дело, что мне и скачать не удается. Вот если бы кто уже переименованный прислал- наверное помогло бы?

 

 

 

К сожалению, нету( эта беда на моем домашнем компе)

вот если она все же мне подходит, единственное, что поняла из текста ниже, что просто запускать я этот файл не должна? А должна какие-то ключи как-то и где-то набрать?

 

"Для дешифровки файлов, зашифрованных GpCode.ai, укажите ключ для дешифровки, используя опцию /gpcode_key. Ключ Вы можете найти в файле readmeru.txt. Пожалуйста, будьте ОЧЕНЬ внимательны во время использования утилиты для массовой дешифровки файлов. Перед запуском утилиты, используя режим сканирования всех дисков (опция /s), проверьте что ваш ключ действительно соответствует тому, который использовался в момент шифрования файлов. Для этого скопируйте один из зашифрованных файлов и попробуйте его расшифровать этим ключом, используя опции klwk.com /gpcode_key <ключ для расшифровки> /gpcode_single <зашифрованный тестовый файл>. Если после дешифровки содержимое файла расшифровалось корректно (проверьте файл), то ключ можно использовать для массовой расшифровки файлов. Если файл не расшифровался корректно, НЕ ЗАПУСКАЙТЕ УТИЛИТУ в режиме сканирования всех дисков - это может безвозвратно повредить Ваши файлы из-за расшифровки неправильным ключом!"

 

И что все-таки с моей модификацией вируса, подойдет ли?

И что такое "зашифрованные файлы" и где это все набирать надо? И как определить, какой файл зашифрован?

 

Еще хотела сделать запрос( как раз на страничке с утилиткой, но там требуется иметь уже конкретную программу Касперского и соответственно, ключ к ней. А у меня пока ну ничего нет :blink: ( не хватает смайлика со слезками(((

 

Здесь все подробно описано, что и как делать для обычного пользователя ;)

 

Ура! обнаружила п.11, где сказано, откуда скачать вторую прогу, если она не запускается или перезагружается...

Сейчас попробую все-таки этим способом воспользоваться))

Спасибо..

Изменено пользователем Гелена
Ссылка на комментарий
Поделиться на другие сайты

вот если она все же мне подходит, единственное, что поняла из текста ниже, что просто запускать я этот файл не должна? А должна какие-то ключи как-то и где-то набрать?

Вам нужно скачать указанный архив и распаковать его, допустим, в корень диска С.

Далее: Пуск - Выполнить: "С:\klwk.com" (без ковычек)

Дождаться окончания проверки после чего опять Пуск - Выполнить: "С:\klwk.com /s"

"Для дешифровки файлов, зашифрованных GpCode.ai..."

Тут говорится о GpCode.ai, а у вас Email-Worm.Win32.Brontok.q ;)

И что все-таки с моей модификацией вируса, подойдет ли?

На virusinfo.info пишут, что подходит :)

Ура! обнаружила п.11, где сказано, откуда скачать вторую прогу, если она не запускается или перезагружается...

Сейчас попробую все-таки этим способом воспользоваться))

Спасибо..

Ждем :)

Изменено пользователем Mydoom
Ссылка на комментарий
Поделиться на другие сайты

Наконец, могу ответить.

Да, с помощью 1-й утилитки( AVZ) вирус был обнаружен и взят в карантин..

и Ура: файлы и странички стали нормально открываться - без перезагрузки!

Потом я эти вирусы удалила..

Но по-прежнему папки ,где раньше вирус находился, не видимы.( зато, когда в адресной строке набираю путь- папка обнаруживается и открывается без перезагрузки!)

Возможно,еще что-то не работает..( то, что касается системного реестра..)

У меня такой вывод-вопрос:

Системный реестр при лечении, значит, не переписывается? А что нужно сделать, чтобы его перезаписать?

Честно говоря, пока решила не использовать лечащую утилитку для модификации "n"...

Но если все-таки она именно для этого необходима.. тогда как скажете :acute:

 

Кстати, чуть не забыла:

нужно ли крепить лог-файлы теперь? я после лечения заново их запустила, так что в них самих вирусов уже обнаруженных не увидеть, думаю..

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Templates\14004-NendangBro.com','');
QuarantineFile('cmd-brontok.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\br7911on.exe','');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\br7911on.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-3444');
DeleteFile('cmd-brontok.exe');
DeleteFile('C:\Documents and Settings\Administrator\Templates\14004-NendangBro.com');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
DeleteFile('C:\Windows\Tasks\At3.job');
DeleteFile('C:\Windows\Tasks\At4.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

не поняла, что значит выполнить скрипт AVZ. Можете пояснить? Где я это все, что в окне, должна набирать?

Можно мне "покнопочно" написать?

И еще: снова надо убирать галку в свойствах "моего компьютера" , чтобы файлы не восстанавливались? или необязательно уже?

 

заранее спасибо)

Изменено пользователем Гелена
Ссылка на комментарий
Поделиться на другие сайты

Перед выполнением скрипта отключитесь от Интернета. Выключите антивирус и фаеревол, а также другое программное обеспечение.

 

1. Выделите правой кнопкой мыши весь скрипт, который Вам написал консультант и вызовите контекстное меню щелчком правой кнопки мышки и выберите Копировать

2. Запустите AVZ, нажмите Файл и в выпавшем меню нажмите Выполнить скрипт

3. В появившемся окне вызовите контекстное меню щелчком левой клавиши мышки и нажмите Вставить

4. И нажмите в этом же окне на кнопку Запустить

Ссылка на комментарий
Поделиться на другие сайты

не поняла, что значит выполнить скрипт AVZ. Можете пояснить? Где я это все, что в окне, должна набирать?

Можно мне "покнопочно" написать?

И еще: снова надо убирать галку в свойствах "моего компьютера" , чтобы файлы не восстанавливались? или необязательно уже?

 

заранее спасибо)

 

http://forum.kasperskyclub.ru/index.php?showtopic=7607 :drinks:

Ссылка на комментарий
Поделиться на другие сайты

спасибо, сейчас попробую и сразу отпишусь))

 

ой, а еще все время забываю спросить: надо ли галку при этих операциях запуска скриптов ставить напротив локальных дисков? у меня это 1 только диск С.

Или это роли не играет? ( вот смотрю на видеопоказе галки не стоят)

 

ну ладно, попробую пока не отмечать диски

 

Сделала и отправила на newvirus@kaspersky.com

Жду ответа :drinks:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • m1pod
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • Taaeq
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • Мала
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • Zed
      Автор Zed
      здравствуйте, уже 2 день не могу удалить, после перезагрузки ноута они опять появляются, пробовал все, бесполезно, помогите плиз!!!!!!!!
    • Copcheny
      Автор Copcheny
      Здравствуйте, скачивал kmsauto и скорее всего от туда поймал вирус taskhost. Смог заметить его в Мониторе ресурсов. Пробовал через разные антивирусы и гайды в интернете ничего не помогает или я сам что то не то делаю. Пожалуйста помогите с решением проблемы
×
×
  • Создать...