bagrius Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 (изменено) Собственно логи прилагаю - надеюсь на помощь ! Заранее спасибо! brastk.exe - очепятка virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 27 октября, 2008 пользователем bagrius Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 Здравствуйте, лог HJT прикрепите в следующему сообщению Ссылка на комментарий Поделиться на другие сайты More sharing options...
bagrius Опубликовано 27 октября, 2008 Автор Share Опубликовано 27 октября, 2008 (изменено) Здравствуйте, лог HJT прикрепите в следующему сообщению написано что "Неудачная загрузка. Вам запрещено загружать такой тип файлов" Изменено 27 октября, 2008 пользователем bagrius Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 Скопируйте текст в сообщение, я все сам прикреплю. Ссылка на комментарий Поделиться на другие сайты More sharing options...
bagrius Опубликовано 27 октября, 2008 Автор Share Опубликовано 27 октября, 2008 Скопируйте текст в сообщение, я все сам прикреплю. разобрался -забыл заархивровать Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 1.bat - переименованный HJT? Ссылка на комментарий Поделиться на другие сайты More sharing options...
bagrius Опубликовано 27 октября, 2008 Автор Share Опубликовано 27 октября, 2008 1.bat - переименованный HJT? да Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 (изменено) Качаем IceSword. Прибиваем в нем: C:\WINDOWS\System32\Drivers\a2woln1k.SYS C:\WINDOWS\System32\Drivers\ak8syd7v.SYS C:\WINDOWS\system32\Drivers\Winct01.sys C:\WINDOWS\system32\WinCtrl32.dll Как это сделать? -Запустите программу. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита. -Нажмите по нему правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". В AVZ выполнить скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\brastk.exe'); TerminateProcessByName('C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe'); TerminateProcessByName('C:\Program Files\AntiSpywareXP2009\Uninstall.exe '); DeleteService('Winct01'); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS ',' '); QuarantineFile('C:\WINDOWS\System32\Drivers\a2woln1k.SYS ',' '); QuarantineFile('C:\WINDOWS\System32\Drivers\ak8syd7v.SYS ',' '); QuarantineFile('C:\WINDOWS\system32\Drivers\Winct01.sys ',' '); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\brastk.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\a2woln1k.SYS'); DeleteFile('C:\WINDOWS\System32\Drivers\ak8syd7v.SYS'); DeleteFile('C:\WINDOWS\system32\Drivers\Winct01.sys'); DeleteFile('C:\WINDOWS\system32\karna.dat'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\2HDQZIX4\Install[1].exe'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\LFRR1T0E\Install[1].exe'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\LFRR1T0E\Install[2].exe'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\YRU7WZQ3\Install[1].exe'); DeleteFile('C:\Program Files\AntiSpywareXP2009\Uninstall.exe'); DeleteFile('c:\program files\antispywarexp2009\antispywarexp2009.exe'); DeleteFileMask('C:\Program Files\AntiSpywareXP2009', '*.*', true); DeleteDirectory('C:\Program Files\AntiSpywareXP2009'); BC_ImportAll; BC_DeleteSvc('Winct01'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Пофиксить в HJT: O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe" /hide O4 - HKLM\..\Run: [brastk] brastk.exe O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll Повторите логи. Изменено 28 октября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты More sharing options...
bagrius Опубликовано 27 октября, 2008 Автор Share Опубликовано 27 октября, 2008 обнаружился тольок через UnHackme - остальные антивирусы легли сразу , в том числе касперский Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 Выполните рекомендации, сейчас мы его изведем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
bagrius Опубликовано 27 октября, 2008 Автор Share Опубликовано 27 октября, 2008 C:\WINDOWS\System32\Drivers\a2woln1k.SYSC:\WINDOWS\System32\Drivers\ak8syd7v.SYS C:\WINDOWS\system32\Drivers\Winct01.sys C:\WINDOWS\system32\WinCtrl32.dl ни в файлах ни в процессах этого не нашёл - делаю логи вот собственно логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 (изменено) В IceSword файлы не прибили, стало быть проблема осталась. -Запустите программу IceSword. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файлы: C:\WINDOWS\system32\Drivers\Winct01.sys C:\WINDOWS\System32\brastk.exe C:\WINDOWS\System32\WinCtrl32.dll -Кликните по нужному файлу правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". Данные операции требуется проводить обязательно, по-другому от заразы не избавиться. После того, как закончили с этим, выполняете скрипт в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\brastk.exe'); DeleteService('Winct01'); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS ',' '); QuarantineFile('C:\WINDOWS\system32\Drivers\Winct01.sys ',' '); QuarantineFile('c:\windows\system32\brastk.exe ',' '); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\brastk.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Winct01.sys'); DeleteFile('C:\WINDOWS\system32\karna.dat'); BC_ImportAll; BC_DeleteSvc('Winct01'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. И карантин на newvirus@kaspersky.com, установите пароль на архив (virus) и укажите его в теле письма. Пофиксить: O4 - HKLM\..\Run: [brastk] brastk.exe O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll Повторите логи. Изменено 28 октября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты More sharing options...
bagrius Опубликовано 28 октября, 2008 Автор Share Опубликовано 28 октября, 2008 (изменено) C:\WINDOWS\system32\Drivers\Winct01.sys к сожалению его нету в файлах - могу приложить скрин (((( ничего не помогает Здравствуйте, Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы. > > >> > > С уважением, ---------- Вирусный аналитик хороший ответ учитывая что у меня касперский умер и не запускается вовсе Сообщение от модератора Falcon Убрал фамилию аналитика. Изменено 29 октября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 29 октября, 2008 Share Опубликовано 29 октября, 2008 Повторите логи. Ждёмс Ссылка на комментарий Поделиться на другие сайты More sharing options...
bagrius Опубликовано 29 октября, 2008 Автор Share Опубликовано 29 октября, 2008 не знаю можно ли вздохнуть с облегчением загрузил [другой антивирус] - вычислил все файлы инфицированные - зашёл в безопасный режим поудалял всё с папок ТЕМП , удалил подозрительные файлы предварительно отключив восстановление системы , почистил корзину - ререзагрузился и вуаля - касперский , unhackme и все прочие антивирусы заработали в поте лица . Надеюсь что это хэпиэнд - сейчас посканю систему и автозагрузки ещё раз . Всем спасибо за поддержку и советы ! будут новые новости отпишусь Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти