Помогите уничтожить brastk.exe

[Kila]

Добрый день, подцепил brastk.exe. Помогите, пожалуйста, с его удалением.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[Kila]

Разве логов не достаточно? Или я что-то не так сделал?

[kos1nus]

Разве логов не достаточно? Или я что-то не так сделал?

 

нет все так просто C. Tantin не логи попросил, а сам фаил(вирус)

Изменено 29 октября, 2008 пользователем kos1nus

[ТроПа]

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл

e:\windows\system32\brastk.exe

E:\WINDOWS\system32\WinCtrl32.dll

E:\WINDOWS\system32\winrkp32.dll

E:\WINDOWS\system32\Drivers\Winpx03.sys

E:\WINDOWS\System32\Drivers\Winwf58.sys

E:\WINDOWS\system32\Drivers\Beep.sys

Нажмите по нему правой кнопкой мыши и выберите Copy to.

Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу измените расширение каждому на ddd.

 

Затем нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\wini10543.exe','');
QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe','');
QuarantineFile('E:\WINDOWS\system32\karna.dat','');
QuarantineFile('E:\WINDOWS\system32\twext.exe','');
QuarantineFile('E:\WINDOWS\System32\Drivers\Winwf58.sys','');
QuarantineFile('E:\WINDOWS\system32\Drivers\Winpx03.sys','');
QuarantineFile('e:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('E:\WINDOWS\system32\winrkp32.dll','');
QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('e:\windows\system32\brastk.exe','');
TerminateProcessByName('e:\windows\system32\brastk.exe');
DeleteFile('e:\windows\system32\brastk.exe');
DeleteFile('e:\WINDOWS\system32\dllcache\beep.sys');
DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('E:\WINDOWS\system32\winrkp32.dll');
DeleteFile('E:\WINDOWS\system32\Drivers\Winpx03.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winwf58.sys');
DeleteFile('E:\WINDOWS\system32\twext.exe');
DeleteFile('E:\WINDOWS\system32\karna.dat');
DeleteFile('WinCtrl32.dll');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe');
DeleteFile('E:\WINDOWS\system32\wini10543.exe');
BC_ImportAll;
BC_DeleteSvc('Winpx03');
BC_DeleteSvc('Beep');
BC_DeleteSvc('Winwf58');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @.

Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес.

Повторите логи.

[Kila]

Выслал файл на указаный адрес.

З.Ы. Это я про brastk.exe

 

"E:\WINDOWS\System32\Drivers\Winwf58.sys"

 

Этот файл не нашел.

 

"Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес."

 

Это как?

 

Логи прикрепил, карантин выслал

 

Доктор, я здоров?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено 29 октября, 2008 пользователем Kila

[ТроПа]

Это как?

Вижу разобрались, карантин дошёл.

Ну что же будем добивать.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\karna.dat');
BC_ImportAll;
BC_DeleteSvc('TrkWkswscsvc');
BC_DeleteSvc('oseDnscache');
BC_DeleteSvc('MSDTCImapiService');
BC_DeleteSvc('DcomLaunchTlntSvr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

2.Пофиксить в HijackThis следующие строчки

	O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)

Повторите логи.

[Kila]

Надеюсь он сдох.

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

Усё, больше ничего подозрительного в логах.

[Kila]

Большое Человеческое Спасибо

[ТроПа]

Да не за что. Обращайтесь если что, недай бог, конечно.