не могу справиться с Email-Worm.Win32.Brontok.q

[Гелена]

Добрый день.

Через сканер на сайте Касперского обнаружила вирус Email-Worm.Win32.Brontok.q.

( за неимением памяти, к сожалению,антивирусную программу пришлось времено удалить. Т.е. сейчас антивирус не установлен).

В связи с этим у меня вопросы:

1) как установить антивирус?( см. описания вируса: при запуске установочных файлов .ехе и других, а также при доступе к определенным сетевым ресурсам, компьютер перезагружается)

2) видела на сайте утилиту для Email-Worm.Win32.Brontok.n- видимо, она не подойдет?

 

3) поскольку ничего не понимаю в терминологии, типа "ключи", какие-то "системные реестры", не знаю также,как их переписать, чтобы они были правильными..,не знаю, где их найти..

огромная просьба помогающим-описать инструкцию для чайника: зайди туда-то - нажми на то-то, напиши то-то..

 

4) я бы мб эти файлы и сама удалила, но папки с вирусами делаются невидимыми( и если я правильно поняла из описания вируса, это-то как раз и прописывается вирусом в системном реестре..)

Когда я набираю в окне путь к папке, где находится вирус, комп сразу перезагружается..

Ребята, очень прошу помочь!

 

Еще вижу на сайте Касперского есть какие-то утилитки, но как-то надо ими проверять и лечить не все файлы, а выборочно, насколько я поняла..( но это уже, если сумею хотя бы сохранить или установить эту утилитку)..Чтобы не повредить остальные данные что ли..

А вот как это сделать..

 

Буду очень признательна за срочную помощь!

Спасибо!

 

Еще просьба, не отсылать меня к другим темам, не учитывая описание вируса- только пыталась какую-то информацию прочесть- опять вирус на что-то среагировал.. и перезагрузил комп :blink: ( а тему я не запомнила)

[Mydoom]

Здесь все подробно описано, что и как делать для обычного пользователя :blink:

[Гелена]

Здесь все подробно описано, что и как делать для обычного пользователя :blink:

 

Спасибо, я попробую выполнить эту инструкцию..( не знаю, правда, удастся ли установить эти программки.. Ведь как я писала выше, у меня при попытке загрузить что-либо компьютер перезагружается

И еще я не поняла-вроде вирус известный, неужели не существует уже способов борьбы с ним кроме полного форматирования компьютера? И мне надо присылать какие-то протоколы.. Ведь описание данного вируса есть на сайте Касперского.

Можете пояснить?

[Mydoom]

Зайдем с другой стороны :blink:

Попробуйте использовать данную утилитку

 

Спасибо, я попробую выполнить эту инструкцию..( не знаю, правда, удастся ли установить эти программки.. Ведь как я писала выше, у меня при попытке загрузить что-либо компьютер перезагружается

Если есть возможность, загрузите их с другого компьютера

И еще я не поняла-вроде вирус известный, неужели не существует уже способов борьбы с ним кроме полного форматирования компьютера?

Существуют. Ссылку я дал выше. Это самый универсальный способ по борьбе с вредоносами

Изменено 10 декабря, 2009 пользователем Mydoom

[Гелена]

Mydoom, спасибо, что пытаетесь мне помочь.

я про данные утилитку и спрашивала в первом сообщении: подойдет она или нет.. у меня ведь вирус, в конце названия которого... q, а не n ((

И к тому же я инструкцию для этой утилитки не поняла- чего-то там непросто как-то изложено((

Поэтому и обратилась за помощью..

 

К сожалению, при загрузке HijackThis, как я и думала, произошла перезагрузка компьютера..и так целых 2 раза(((

Прямо не знаю, что делать.

Где-то стала читать, что якобы файлы можно переименовать с таким именем, чтобы вирус не узнал( ну и имя и расширение вроде бы тоже). А программка даже с помощью переименованного файла будет открываться..И в свойствах надо сделать невидимыми расширения..

Но как раз когда читала, компьютер перезагрузился и не могу найти эту информацию..

Другое дело, что мне и скачать не удается. Вот если бы кто уже переименованный прислал- наверное помогло бы?

 

 

 

К сожалению, нету( эта беда на моем домашнем компе)

вот если она все же мне подходит, единственное, что поняла из текста ниже, что просто запускать я этот файл не должна? А должна какие-то ключи как-то и где-то набрать?

 

"Для дешифровки файлов, зашифрованных GpCode.ai, укажите ключ для дешифровки, используя опцию /gpcode_key. Ключ Вы можете найти в файле readmeru.txt. Пожалуйста, будьте ОЧЕНЬ внимательны во время использования утилиты для массовой дешифровки файлов. Перед запуском утилиты, используя режим сканирования всех дисков (опция /s), проверьте что ваш ключ действительно соответствует тому, который использовался в момент шифрования файлов. Для этого скопируйте один из зашифрованных файлов и попробуйте его расшифровать этим ключом, используя опции klwk.com /gpcode_key <ключ для расшифровки> /gpcode_single <зашифрованный тестовый файл>. Если после дешифровки содержимое файла расшифровалось корректно (проверьте файл), то ключ можно использовать для массовой расшифровки файлов. Если файл не расшифровался корректно, НЕ ЗАПУСКАЙТЕ УТИЛИТУ в режиме сканирования всех дисков - это может безвозвратно повредить Ваши файлы из-за расшифровки неправильным ключом!"

 

И что все-таки с моей модификацией вируса, подойдет ли?

И что такое "зашифрованные файлы" и где это все набирать надо? И как определить, какой файл зашифрован?

 

Еще хотела сделать запрос( как раз на страничке с утилиткой, но там требуется иметь уже конкретную программу Касперского и соответственно, ключ к ней. А у меня пока ну ничего нет :blink: ( не хватает смайлика со слезками(((

 

Здесь все подробно описано, что и как делать для обычного пользователя

 

Ура! обнаружила п.11, где сказано, откуда скачать вторую прогу, если она не запускается или перезагружается...

Сейчас попробую все-таки этим способом воспользоваться))

Спасибо..

Изменено 10 декабря, 2009 пользователем Гелена

[Mydoom]

вот если она все же мне подходит, единственное, что поняла из текста ниже, что просто запускать я этот файл не должна? А должна какие-то ключи как-то и где-то набрать?

Вам нужно скачать указанный архив и распаковать его, допустим, в корень диска С.

Далее: Пуск - Выполнить: "С:\klwk.com" (без ковычек)

Дождаться окончания проверки после чего опять Пуск - Выполнить: "С:\klwk.com /s"

"Для дешифровки файлов, зашифрованных GpCode.ai..."

Тут говорится о GpCode.ai, а у вас Email-Worm.Win32.Brontok.q

И что все-таки с моей модификацией вируса, подойдет ли?

На virusinfo.info пишут, что подходит

Ура! обнаружила п.11, где сказано, откуда скачать вторую прогу, если она не запускается или перезагружается...

Сейчас попробую все-таки этим способом воспользоваться))

Спасибо..

Ждем

Изменено 10 декабря, 2009 пользователем Mydoom

[Гелена]

Наконец, могу ответить.

Да, с помощью 1-й утилитки( AVZ) вирус был обнаружен и взят в карантин..

и Ура: файлы и странички стали нормально открываться - без перезагрузки!

Потом я эти вирусы удалила..

Но по-прежнему папки ,где раньше вирус находился, не видимы.( зато, когда в адресной строке набираю путь- папка обнаруживается и открывается без перезагрузки!)

Возможно,еще что-то не работает..( то, что касается системного реестра..)

У меня такой вывод-вопрос:

Системный реестр при лечении, значит, не переписывается? А что нужно сделать, чтобы его перезаписать?

Честно говоря, пока решила не использовать лечащую утилитку для модификации "n"...

Но если все-таки она именно для этого необходима.. тогда как скажете

 

Кстати, чуть не забыла:

нужно ли крепить лог-файлы теперь? я после лечения заново их запустила, так что в них самих вирусов уже обнаруженных не увидеть, думаю..

[thyrex]

Логи сделать новые и прикрепить к сообщению

[Гелена]

Логи сделать новые и прикрепить к сообщению

 

Слушаюсь)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Templates\14004-NendangBro.com','');
QuarantineFile('cmd-brontok.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\br7911on.exe','');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\br7911on.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-3444');
DeleteFile('cmd-brontok.exe');
DeleteFile('C:\Documents and Settings\Administrator\Templates\14004-NendangBro.com');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
DeleteFile('C:\Windows\Tasks\At3.job');
DeleteFile('C:\Windows\Tasks\At4.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

[Гелена]

не поняла, что значит выполнить скрипт AVZ. Можете пояснить? Где я это все, что в окне, должна набирать?

Можно мне "покнопочно" написать?

И еще: снова надо убирать галку в свойствах "моего компьютера" , чтобы файлы не восстанавливались? или необязательно уже?

 

заранее спасибо)

Изменено 14 декабря, 2009 пользователем Гелена

[snifer67]

Перед выполнением скрипта отключитесь от Интернета. Выключите антивирус и фаеревол, а также другое программное обеспечение.

 

1. Выделите правой кнопкой мыши весь скрипт, который Вам написал консультант и вызовите контекстное меню щелчком правой кнопки мышки и выберите Копировать

2. Запустите AVZ, нажмите Файл и в выпавшем меню нажмите Выполнить скрипт

3. В появившемся окне вызовите контекстное меню щелчком левой клавиши мышки и нажмите Вставить

4. И нажмите в этом же окне на кнопку Запустить

[Roma1]

не поняла, что значит выполнить скрипт AVZ. Можете пояснить? Где я это все, что в окне, должна набирать?

Можно мне "покнопочно" написать?

И еще: снова надо убирать галку в свойствах "моего компьютера" , чтобы файлы не восстанавливались? или необязательно уже?

 

заранее спасибо)

 

http://forum.kasperskyclub.ru/index.php?showtopic=7607

[Гелена]

спасибо, сейчас попробую и сразу отпишусь))

 

ой, а еще все время забываю спросить: надо ли галку при этих операциях запуска скриптов ставить напротив локальных дисков? у меня это 1 только диск С.

Или это роли не играет? ( вот смотрю на видеопоказе галки не стоят)

 

ну ладно, попробую пока не отмечать диски

 

Сделала и отправила на newvirus@kaspersky.com

Жду ответа

[thyrex]

Пока ожидаете отавет, делайте новые логи