Fossa 0 Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 Вирус, видимо, попал с сайта зайцев.нет. При простом заходе на сайт, без скачки чего-либо. Касперский успел сообщить о вредоносном объекте, запросил "Разрешить/запретить", я нажала "запретить" и касперский тут же исчез. В трее появилась красная блямба с буквой Х, которая начала сообщать о страшном инфицировании компьютера. Касперский не реагирует на запуск ни в обычном, ни в безопасном режиме. Блямба постоянно пытается скачать какие-то файлы под названием AntiSpyXP 2009. В панели управления Центр безопасности заменился на якобы "английский вариант", но при запуске безопасности опять качает вышеупомянутый Антиспай. В Виндоусе, в Систем32 и в автозагрузке стоит brastk.exe. Неубиваем. Поначалу в Систем32 еще стоял файл delself.bat. Был убит, но улучшений это не принесло. Интернет по выделенке не работает. Только дайл-ап. Изредка браузеры вырубаются и комп перезагружается (но редко, системности в этом не видно). AVZ не запускался. Пришлось переименовать. Запустился. HijackThis не запускался. Пришлось скачать 1.zip HijackThis.log не грузился. Сообщение - вам запрещено загружать такой тип файлов. Поэтому я гружу его сюда в раре... Че делать? Подскажите, пожалуйста virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Цитата Ссылка на сообщение Поделиться на другие сайты
kos1nus 177 Опубликовано 27 октября, 2008 Share Опубликовано 27 октября, 2008 с этим вирусов на этом же портале уже боролись . . . глянь, может полезное что найдешь http://forum.kasperskyclub.ru/index.php?showtopic=6270 Цитата Ссылка на сообщение Поделиться на другие сайты
Fossa 0 Опубликовано 28 октября, 2008 Автор Share Опубликовано 28 октября, 2008 Да я поэтому и зашла, что тут уже боролись. Но дело в том, что самостоятельно я скрипты писать не умею. А пользоваться чужим - вроде, как мне кажется, нет смысла. У нас же по-разному, наверное, некоторые папки или даже диски расположены... Цитата Ссылка на сообщение Поделиться на другие сайты
AZЪ 261 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 Приветствуем на форуме! Вы всё правильно говорите и даже скажу больше: пользоваться чужими скриптами нельзя ни в коем случае - можно нанести вред системе! Подождите ответа специалиста и будет Вам скрипт Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 (изменено) с этим вирусов на этом же портале уже боролись . . . глянь, может полезное что найдешь Так для того мы и лечим тута, что бы разбирать каждый случай. Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл c:\windows\system32\brastk.exe, C:\WINDOWS\system32\WinCtrl32.dll, C:\WINDOWS\system32\Drivers\Winok00.sys Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512'); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe',''); QuarantineFile('C:\WINDOWS\system32\karna.dat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winok00.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\system32\brastk.exe',''); TerminateProcessByName('c:\windows\system32\brastk.exe'); DeleteFile('c:\windows\system32\brastk.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winok00.sys'); DeleteFile('C:\WINDOWS\system32\karna.dat'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe'); BC_ImportAll; BC_DeleteSvc('Winok00'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Повторите логи. Изменено 28 октября, 2008 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
Fossa 0 Опубликовано 28 октября, 2008 Автор Share Опубликовано 28 октября, 2008 Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Карантин зип готов. Готова выслать. Но что значит "укажите пароль на архив virus"? Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 В письме напишите:Пароль на архив "virus"... Цитата Ссылка на сообщение Поделиться на другие сайты
Fossa 0 Опубликовано 28 октября, 2008 Автор Share Опубликовано 28 октября, 2008 В письме напишите:Пароль на архив "virus"... Но у меня нет архива "вирус"! И пароля, соответственно, на него нету Или "архивом вирус" называется этот форум? И надо слать свой пароль? Я на всякий случай так послала, без паролей Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 Думаю там поймут... Просто то архив, что вы посылали уже автоматически запаролен. Пароль на него "virus". Тоесть вам надо было написать в письме, после прикрепления соответствующего файла, что пароль на высылаемый архив - "virus". )) Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 (изменено) Требовалось данный пароль на архив установить. А потом для ребят из вирлаба его указать, чтобы они не ломали голову над вопросом, что юзеру заблагорассудилось за пароль указать. Изменено 28 октября, 2008 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Fossa 0 Опубликовано 28 октября, 2008 Автор Share Опубликовано 28 октября, 2008 Ну че еще поделать? Над карантином, как сообщили письмом, идет работа... А я тут без дела сижу, на вирусы таращусь... Может, логи опять поделать? Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 Над карантином, как сообщили письмом, идет работа... А можно увидеть, то что написано в письме - а то такого сообщения от вирлаба я еще не видел ЗЫ. без фамилий аналитика Цитата Ссылка на сообщение Поделиться на другие сайты
Fossa 0 Опубликовано 28 октября, 2008 Автор Share Опубликовано 28 октября, 2008 (изменено) Скопировать не могу, потому как из-за проблем с интернетом почта не открывается уже час... Да и в письме сообщается, что копировать его нельзя Изменено 28 октября, 2008 пользователем Fossa Цитата Ссылка на сообщение Поделиться на другие сайты
ROME'D'ROS 18 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 (изменено) Fossa ,Kapral - МОДЕР,он знает что пишет,скопируйте(как сможете посмотреть почту)текст сюда,удалив Фамилию аналитика... Кстати у Вас какая скорость?У меня 128Кб\сек,глючит просто УЖАСНО,вместо 15 Кб(1 Кб теряется при передаче),всего лишь 6,вообще кошмар...Всё,в январе перехожу на "Молодёжный"...надоело..... Изменено 28 октября, 2008 пользователем ROME'D'ROS Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 28 октября, 2008 Share Опубликовано 28 октября, 2008 Раз написано, что нельзя - то лучше не надо Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.