bagrius Опубликовано 27 октября, 2008 Опубликовано 27 октября, 2008 (изменено) Собственно логи прилагаю - надеюсь на помощь ! Заранее спасибо! brastk.exe - очепятка virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 27 октября, 2008 пользователем bagrius
Falcon Опубликовано 27 октября, 2008 Опубликовано 27 октября, 2008 Здравствуйте, лог HJT прикрепите в следующему сообщению
bagrius Опубликовано 27 октября, 2008 Автор Опубликовано 27 октября, 2008 (изменено) Здравствуйте, лог HJT прикрепите в следующему сообщению написано что "Неудачная загрузка. Вам запрещено загружать такой тип файлов" Изменено 27 октября, 2008 пользователем bagrius
Falcon Опубликовано 27 октября, 2008 Опубликовано 27 октября, 2008 Скопируйте текст в сообщение, я все сам прикреплю.
bagrius Опубликовано 27 октября, 2008 Автор Опубликовано 27 октября, 2008 Скопируйте текст в сообщение, я все сам прикреплю. разобрался -забыл заархивровать
bagrius Опубликовано 27 октября, 2008 Автор Опубликовано 27 октября, 2008 1.bat - переименованный HJT? да
Falcon Опубликовано 27 октября, 2008 Опубликовано 27 октября, 2008 (изменено) Качаем IceSword. Прибиваем в нем: C:\WINDOWS\System32\Drivers\a2woln1k.SYS C:\WINDOWS\System32\Drivers\ak8syd7v.SYS C:\WINDOWS\system32\Drivers\Winct01.sys C:\WINDOWS\system32\WinCtrl32.dll Как это сделать? -Запустите программу. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита. -Нажмите по нему правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". В AVZ выполнить скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\brastk.exe'); TerminateProcessByName('C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe'); TerminateProcessByName('C:\Program Files\AntiSpywareXP2009\Uninstall.exe '); DeleteService('Winct01'); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS ',' '); QuarantineFile('C:\WINDOWS\System32\Drivers\a2woln1k.SYS ',' '); QuarantineFile('C:\WINDOWS\System32\Drivers\ak8syd7v.SYS ',' '); QuarantineFile('C:\WINDOWS\system32\Drivers\Winct01.sys ',' '); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\brastk.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\a2woln1k.SYS'); DeleteFile('C:\WINDOWS\System32\Drivers\ak8syd7v.SYS'); DeleteFile('C:\WINDOWS\system32\Drivers\Winct01.sys'); DeleteFile('C:\WINDOWS\system32\karna.dat'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\2HDQZIX4\Install[1].exe'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\LFRR1T0E\Install[1].exe'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\LFRR1T0E\Install[2].exe'); DeleteFile('C:\Documents and Settings\Barsuk\Local Settings\Temporary Internet Files\Content.IE5\YRU7WZQ3\Install[1].exe'); DeleteFile('C:\Program Files\AntiSpywareXP2009\Uninstall.exe'); DeleteFile('c:\program files\antispywarexp2009\antispywarexp2009.exe'); DeleteFileMask('C:\Program Files\AntiSpywareXP2009', '*.*', true); DeleteDirectory('C:\Program Files\AntiSpywareXP2009'); BC_ImportAll; BC_DeleteSvc('Winct01'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Пофиксить в HJT: O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe" /hide O4 - HKLM\..\Run: [brastk] brastk.exe O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll Повторите логи. Изменено 28 октября, 2008 пользователем Falcon
bagrius Опубликовано 27 октября, 2008 Автор Опубликовано 27 октября, 2008 обнаружился тольок через UnHackme - остальные антивирусы легли сразу , в том числе касперский
Falcon Опубликовано 27 октября, 2008 Опубликовано 27 октября, 2008 Выполните рекомендации, сейчас мы его изведем.
bagrius Опубликовано 27 октября, 2008 Автор Опубликовано 27 октября, 2008 C:\WINDOWS\System32\Drivers\a2woln1k.SYSC:\WINDOWS\System32\Drivers\ak8syd7v.SYS C:\WINDOWS\system32\Drivers\Winct01.sys C:\WINDOWS\system32\WinCtrl32.dl ни в файлах ни в процессах этого не нашёл - делаю логи вот собственно логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar
Falcon Опубликовано 28 октября, 2008 Опубликовано 28 октября, 2008 (изменено) В IceSword файлы не прибили, стало быть проблема осталась. -Запустите программу IceSword. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файлы: C:\WINDOWS\system32\Drivers\Winct01.sys C:\WINDOWS\System32\brastk.exe C:\WINDOWS\System32\WinCtrl32.dll -Кликните по нужному файлу правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". Данные операции требуется проводить обязательно, по-другому от заразы не избавиться. После того, как закончили с этим, выполняете скрипт в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\brastk.exe'); DeleteService('Winct01'); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS ',' '); QuarantineFile('C:\WINDOWS\system32\Drivers\Winct01.sys ',' '); QuarantineFile('c:\windows\system32\brastk.exe ',' '); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\brastk.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Winct01.sys'); DeleteFile('C:\WINDOWS\system32\karna.dat'); BC_ImportAll; BC_DeleteSvc('Winct01'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. И карантин на newvirus@kaspersky.com, установите пароль на архив (virus) и укажите его в теле письма. Пофиксить: O4 - HKLM\..\Run: [brastk] brastk.exe O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll Повторите логи. Изменено 28 октября, 2008 пользователем Falcon
bagrius Опубликовано 28 октября, 2008 Автор Опубликовано 28 октября, 2008 (изменено) C:\WINDOWS\system32\Drivers\Winct01.sys к сожалению его нету в файлах - могу приложить скрин (((( ничего не помогает Здравствуйте, Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы. > > >> > > С уважением, ---------- Вирусный аналитик хороший ответ учитывая что у меня касперский умер и не запускается вовсе Сообщение от модератора Falcon Убрал фамилию аналитика. Изменено 29 октября, 2008 пользователем Falcon
bagrius Опубликовано 29 октября, 2008 Автор Опубликовано 29 октября, 2008 не знаю можно ли вздохнуть с облегчением загрузил [другой антивирус] - вычислил все файлы инфицированные - зашёл в безопасный режим поудалял всё с папок ТЕМП , удалил подозрительные файлы предварительно отключив восстановление системы , почистил корзину - ререзагрузился и вуаля - касперский , unhackme и все прочие антивирусы заработали в поте лица . Надеюсь что это хэпиэнд - сейчас посканю систему и автозагрузки ещё раз . Всем спасибо за поддержку и советы ! будут новые новости отпишусь
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти