Снова brastk.exe

[ROME'D'ROS]

Раз написано, что нельзя - то лучше не надо

МОД сказал,поьзователь сделал))

ТОгда не выкладывайте,ответьте на вопрос:

Кстати у Вас какая скорость?У меня 128Кб\сек,глючит просто УЖАСНО,вместо 15 Кб(1 Кб теряется при передаче),всего лишь 6,вообще кошмар...Всё,в январе перехожу на "Молодёжный"...надоело.....

[Fossa]

Могу теоретически в ЛС послать. В письме не дается запрет на ЛС Только на форумы, конференции и СМИ...

 

А че, у меня совсем плохо? Никаких больше скриптов, эх, не дают. Блямба в трее висит злобно. Brastk.exe куда-то из Виндоуза делся, но в Систем32 остался.

 

2ROME'D'ROS

У меня БЫЛ 128 кбит/с. До вируса. С его появлением вчера выделенка умерла.

Я пытаюсь выходить на дайл апе. Но он обычно держится минуты две и вырубается. А страница вот этого форума грузится минут 15. Можно представить, сколько нервов уходит у меня на чтение форума Особенно, когда понимаешь, что рекомендаций пока нет

 

Может, мне все-таки запаролить карантин и снова послать?

Или мудрецов из лаборатории лучше пока не отвлекать?

[Kapral]

Может, мне все-таки запаролить карантин и снова послать?

Зачем - оно уже в обработке

 

Никаких больше скриптов, эх, не дают

Просто люди которые занимаются лечением компов сейчас отсутствуют

[ТроПа]

Повторите логи.

 

Что-то не заметил нового комплекта логов

Изменено 29 октября, 2008 пользователем wise-wistful

[Fossa]

Я видимо не так поняла инструкции. Вроде как надо было отправить карантин и ждать ответа. А уж потом выкладывать логи.

 

Сейчас выложу.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

[ТроПа]

В IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл

c:\windows\system32\brastk.exe

C:\WINDOWS\System32\Drivers\Beep.SYS

C:\WINDOWS\system32\karna.dat

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\beep.sys','');
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('c:\windows\system32\brastk.exe','');
TerminateProcessByName('c:\windows\system32\brastk.exe');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\karna.dat');
DeleteFile('C:\WINDOWS\system32\dllcache\beep.sys');
BC_ImportAll;
BC_DeleteSvc('Beep');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. в письме укажите ссілку на тему.

 

 

2.Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

Сделайте новій комплект логов.

[Fossa]

 

Из Нижнего Новгорода с любовью и неземной благодарностью ко всем мудрецам и сотрудникам лаборатории Касперского!

 

ПРОСТО ГАЛАКТИЧЕСКОЕ СПАСИБО!

 

1. Интернет РАБОТАЕТ!

2. Касперский тихо обосновался на привычном месте и че-то шуршит себе тихо.

3. Блямбы и весь мусор исчез (остался, правда, аплет в Панели управления с требованием немедленно закачать этот Antispyware 2009).

 

"Спокойно не там, где не воруют, а там, где органы правопорядка могут быстро обезвредить преступника" (Глеб Жеглов)

 

*********************

Теперь по делу.

Карантин выслала.

Застряла на втором пункте инструкций.

 

2.Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

Нельзя ли как то другими словами? Вот я открыла Хайджек. И как там найти этот файл? И найдя его, как его пофиксить?

Как пофиксю, сразу сделаю и выложу логи.

[ТроПа]

Запустите HijackThis, нажмите Do a system scan only, потом найдите указанную строчку, поставьте слева от неё галочку, нажмите Fix checked, перезагрузите компьютер. Вообще то в этой теме есть описание как фиксить

[Fossa]

Нашла уже.

Спасибо.

 

Вроде там че то еще болтается в системе вредоносное...

 

 

 

Недавно (уже после вывешивания сюда логов) Касперский разбушевался не на шутку. Сразился с этим проклятым аплетом в Панели управления (который типа Center Security Windows), опять отыскал где то brastk.exe (у меня чуть инфаркт не приключился), убил его, в общем все умерли вроде...

 

удалено: троянская программа Trojan.Win32.Autoit.ge	Файл: C:\Documents and Settings\All Users\Документы\hdowpz.exe//PE_Patch.UPX//UPX//6rN84OvPb.au3.tbl
удалено: троянская программа Trojan.Win32.Pakes.ljo	Файл: C:\Documents and Settings\parents\Local Settings\Temp\loader.exe
удалено: троянская программа Trojan.Win32.FraudPack.gqq	Файл: C:\Documents and Settings\parents\Local Settings\Temp\wrdwn2/AntiSpywareXP2009.exe
удалено: троянская программа Trojan.Win32.Agent.akkh	Файл: C:\Documents and Settings\parents\Local Settings\Temp\wrdwn3/AVEngn.dll
удалено: новая угроза not-a-virus:FraudTool.Win32.XPSecurityCenter.bf	Файл: C:\Documents and Settings\parents\Local Settings\Temp\wrdwn6/wscui.cpl//NSPack
вылечено: троянская программа Trojan.Win32.FraudPack.gqq	Файл: C:\Documents and Settings\parents\Local Settings\Temp\wrdwn8
вылечено: троянская программа Trojan.Win32.Agent.akkh	Файл: C:\Documents and Settings\parents\Local Settings\Temp\wrdwn9
удалено: новая угроза not-a-virus:FraudTool.Win32.XPAntiSpyware2009.d	Файл: C:\Documents and Settings\parents\Local Settings\Temporary Internet Files\Content.IE5\6RW37OHO\Install[2].exe//PE_Patch//UPack
удалено: новая угроза not-a-virus:FraudTool.Win32.XPAntiSpyware2009.d	Файл: C:\Documents and Settings\parents\Local Settings\Temporary Internet Files\Content.IE5\6RW37OHO\Install[3].exe//PE_Patch//UPack
удалено: троянская программа Trojan-Dropper.Win32.Agent.ynw	Файл: C:\Documents and Settings\parents\Local Settings\Temporary Internet Files\Content.IE5\EKQHJ1G4\update[1].exe
вылечено: троянская программа Trojan.Win32.Agent.akkh	Файл: C:\Documents and Settings\parents\Local Settings\Temporary Internet Files\Content.IE5\ZQ3THLJB\BinariesAVE[1].cab
вылечено: троянская программа Trojan.Win32.Agent.akkh	Файл: C:\Documents and Settings\parents\Local Settings\Temporary Internet Files\Content.IE5\ZQ3THLJB\BinariesAVE[1].cab/AVEngn.dll
удалено: новая угроза not-a-virus:FraudTool.Win32.XPAntiSpyware2009.d	Файл: C:\Program Files\AntiSpywareXP2009\Uninstall.exe//PE_Patch//UPack
удалено: новая угроза not-a-virus:FraudTool.Win32.XPSecurityCenter.bn	Файл: C:\WINDOWS\brastk.exe
удалено: троянская программа Backdoor.Win32.Small.gjm	Файл: C:\WINDOWS\karna.dat
удалено: троянская программа Trojan-Dropper.Win32.Agent.ynw	Файл: C:\WINDOWS\system32\a.exe
удалено: новая угроза not-a-virus:FraudTool.Win32.XPAntiSpyware2009.d	Файл: C:\WINDOWS\system32\wini10541.exe//PE_Patch//UPack
удалено: новая угроза not-a-virus:FraudTool.Win32.XPAntiSpyware2009.d	Файл: C:\WINDOWS\system32\wini10542.exe//PE_Patch//UPack
удалено: новая угроза not-a-virus:FraudTool.Win32.XPSecurityCenter.bf	Файл: C:\WINDOWS\system32\_scui.cpl//NSPack

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено 29 октября, 2008 пользователем Fossa

[Олег777]

Здравствуйте!

Прекрасно, что совместными усилиями Ваш компьютер спасен!

не зря мы (наши аналитики, эксперты с форума и даже я (правда, в основном головой об стол, после сбора потока информации) бились с этой дрянью!

Спасибо за теплые слова в наш адрес! ;) :)

[ТроПа]

Добём врага.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\karna.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

2.Пофиксить в HijackThis следующие строчки

O20 - AppInit_DLLs: karna.dat

 

повторите логи.

[Fossa]

Выкладываю логи.

 

2.Пофиксить в HijackThis следующие строчки

O20 - AppInit_DLLs: karna.dat

 

"Нет такой буквы" (с)

Поэтому не выполнила.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

[ТроПа]

врага добили.

[Falcon]

Да, чисто в логах, Fossa, можете спать спокойно

[Fossa]

Еще раз ОГРОМНЕЙШЕЕ СПАСИБО!

 

И еще один крохотный вопрос по консультации. Если время будет у кого ответить...

 

Вирус на меня напал, когда я во вторник вышла на сайт зайцев.нет. Сразу прошла переадресация на сайт, который начинался примерно www.serodo. ... (дальше не помню) с попыткой закачать какой-то файл.pif

Собственно, он и закачался.

 

Пока шла эпопея с лечением, я всем ябедничала на сайт, а все удивлялись, и говорили, что спокойно заходили в это время на зайцев и все качали даже без проблем.

Я решила, что это была случайность (со мной), просто зашла в неудачную секунду. И больше этого не повторится.

 

Фигушки.

Вот час назад решила повторить попытку, и снова поперлась на зайцев. И снова переадресация на serodo, и снова касперский вопит об атаке. Я чуть не скончалась у монитора. Кошмар прежний, дубль второй.

 

 

Но вроде на этот раз касперский вырулил, я все попроверяла, нигде ничего нету вроде, зайцев выкинула нафик вообще из хистори даже.

 

Теперь вопрос.

Не то что мне эти зайцы дороги. Ну раз так, чихала я на них, других найду.

Но почему такой эксклюзив на мой IP? Почему все туда могут заходить, а меня куда-то выбрасывает и опять в гости лезет brastk ? Медом штоли тут намазано?

 

**************

Вот это было в прошлый раз:

обнаружено: троянская программа Exploit.Win32.Pidief.iu

обнаружено: троянская программа Trojan-Downloader.JS.Tabletka.a

 

Вот сегодня:

обнаружено: троянская программа Exploit.Win32.Pidief.of

обнаружено: троянская программа Trojan-Downloader.Win32.Small.afwy

Сообщение от модератора Falcon

Пофиксил активные ссылки.

Изменено 30 октября, 2008 пользователем Falcon