Снова brastk.exe

[Fossa]

Вирус, видимо, попал с сайта зайцев.нет. При простом заходе на сайт, без скачки чего-либо. Касперский успел сообщить о вредоносном объекте, запросил "Разрешить/запретить", я нажала "запретить" и касперский тут же исчез. В трее появилась красная блямба с буквой Х, которая начала сообщать о страшном инфицировании компьютера. Касперский не реагирует на запуск ни в обычном, ни в безопасном режиме. Блямба постоянно пытается скачать какие-то файлы под названием AntiSpyXP 2009. В панели управления Центр безопасности заменился на якобы "английский вариант", но при запуске безопасности опять качает вышеупомянутый Антиспай.

В Виндоусе, в Систем32 и в автозагрузке стоит brastk.exe. Неубиваем.

Поначалу в Систем32 еще стоял файл delself.bat. Был убит, но улучшений это не принесло.

Интернет по выделенке не работает. Только дайл-ап.

Изредка браузеры вырубаются и комп перезагружается (но редко, системности в этом не видно).

 

AVZ не запускался. Пришлось переименовать. Запустился.

HijackThis не запускался. Пришлось скачать 1.zip

HijackThis.log не грузился. Сообщение - вам запрещено загружать такой тип файлов. Поэтому я гружу его сюда в раре...

 

Че делать? Подскажите, пожалуйста

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[kos1nus]

с этим вирусов на этом же портале уже боролись . . . глянь, может полезное что найдешь

 

http://forum.kasperskyclub.ru/index.php?showtopic=6270

[Fossa]

Да я поэтому и зашла, что тут уже боролись.

Но дело в том, что самостоятельно я скрипты писать не умею.

А пользоваться чужим - вроде, как мне кажется, нет смысла. У нас же по-разному, наверное, некоторые папки или даже диски расположены...

[AZЪ]

Приветствуем на форуме! Вы всё правильно говорите и даже скажу больше: пользоваться чужими скриптами нельзя ни в коем случае - можно нанести вред системе! Подождите ответа специалиста и будет Вам скрипт

[ТроПа]

с этим вирусов на этом же портале уже боролись . . . глянь, может полезное что найдешь

Так для того мы и лечим тута, что бы разбирать каждый случай.

 

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл c:\windows\system32\brastk.exe, C:\WINDOWS\system32\WinCtrl32.dll, C:\WINDOWS\system32\Drivers\Winok00.sys

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winok00.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\brastk.exe','');
TerminateProcessByName('c:\windows\system32\brastk.exe');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winok00.sys');
DeleteFile('C:\WINDOWS\system32\karna.dat');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
BC_ImportAll;
BC_DeleteSvc('Winok00');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

Изменено 28 октября, 2008 пользователем wise-wistful

[Fossa]

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus.

 

Карантин зип готов. Готова выслать. Но что значит "укажите пароль на архив virus"?

[Гриша]

В письме напишите:Пароль на архив "virus"...

[Fossa]

В письме напишите:Пароль на архив "virus"...

 

Но у меня нет архива "вирус"! И пароля, соответственно, на него нету

Или "архивом вирус" называется этот форум? И надо слать свой пароль?

 

Я на всякий случай так послала, без паролей

[SLASH_id]

Думаю там поймут... Просто то архив, что вы посылали уже автоматически запаролен. Пароль на него "virus". Тоесть вам надо было написать в письме, после прикрепления соответствующего файла, что пароль на высылаемый архив - "virus". ))

[Falcon]

Требовалось данный пароль на архив установить. А потом для ребят из вирлаба его указать, чтобы они не ломали голову над вопросом, что юзеру заблагорассудилось за пароль указать.

Изменено 28 октября, 2008 пользователем Falcon

[Fossa]

Ну че еще поделать?

Над карантином, как сообщили письмом, идет работа...

А я тут без дела сижу, на вирусы таращусь...

 

Может, логи опять поделать?

[Kapral]

Над карантином, как сообщили письмом, идет работа...

А можно увидеть, то что написано в письме - а то такого сообщения от вирлаба я еще не видел

 

ЗЫ. без фамилий аналитика

[Fossa]

Скопировать не могу, потому как из-за проблем с интернетом почта не открывается уже час...

Да и в письме сообщается, что копировать его нельзя

Изменено 28 октября, 2008 пользователем Fossa

[ROME'D'ROS]

Fossa ,Kapral - МОДЕР,он знает что пишет,скопируйте(как сможете посмотреть почту)текст сюда,удалив Фамилию аналитика...

Кстати у Вас какая скорость?У меня 128Кб\сек,глючит просто УЖАСНО,вместо 15 Кб(1 Кб теряется при передаче),всего лишь 6,вообще кошмар...Всё,в январе перехожу на "Молодёжный"...надоело.....

Изменено 28 октября, 2008 пользователем ROME'D'ROS

[Kapral]

Раз написано, что нельзя - то лучше не надо