Kila Опубликовано 29 октября, 2008 Поделиться Опубликовано 29 октября, 2008 Добрый день, подцепил brastk.exe. Помогите, пожалуйста, с его удалением. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Kila Опубликовано 29 октября, 2008 Автор Поделиться Опубликовано 29 октября, 2008 Разве логов не достаточно? Или я что-то не так сделал? Ссылка на комментарий Поделиться на другие сайты Поделиться
kos1nus Опубликовано 29 октября, 2008 Поделиться Опубликовано 29 октября, 2008 (изменено) Разве логов не достаточно? Или я что-то не так сделал? нет все так просто C. Tantin не логи попросил, а сам фаил(вирус) Изменено 29 октября, 2008 пользователем kos1nus Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 29 октября, 2008 Поделиться Опубликовано 29 октября, 2008 Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл e:\windows\system32\brastk.exeE:\WINDOWS\system32\WinCtrl32.dll E:\WINDOWS\system32\winrkp32.dll E:\WINDOWS\system32\Drivers\Winpx03.sys E:\WINDOWS\System32\Drivers\Winwf58.sys E:\WINDOWS\system32\Drivers\Beep.sys Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу измените расширение каждому на ddd. Затем нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\system32\wini10543.exe',''); QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe',''); QuarantineFile('E:\WINDOWS\system32\karna.dat',''); QuarantineFile('E:\WINDOWS\system32\twext.exe',''); QuarantineFile('E:\WINDOWS\System32\Drivers\Winwf58.sys',''); QuarantineFile('E:\WINDOWS\system32\Drivers\Winpx03.sys',''); QuarantineFile('e:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('E:\WINDOWS\system32\winrkp32.dll',''); QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('e:\windows\system32\brastk.exe',''); TerminateProcessByName('e:\windows\system32\brastk.exe'); DeleteFile('e:\windows\system32\brastk.exe'); DeleteFile('e:\WINDOWS\system32\dllcache\beep.sys'); DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('E:\WINDOWS\system32\winrkp32.dll'); DeleteFile('E:\WINDOWS\system32\Drivers\Winpx03.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winwf58.sys'); DeleteFile('E:\WINDOWS\system32\twext.exe'); DeleteFile('E:\WINDOWS\system32\karna.dat'); DeleteFile('WinCtrl32.dll'); DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe'); DeleteFile('E:\WINDOWS\system32\wini10543.exe'); BC_ImportAll; BC_DeleteSvc('Winpx03'); BC_DeleteSvc('Beep'); BC_DeleteSvc('Winwf58'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес. Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kila Опубликовано 29 октября, 2008 Автор Поделиться Опубликовано 29 октября, 2008 (изменено) Выслал файл на указаный адрес. З.Ы. Это я про brastk.exe "E:\WINDOWS\System32\Drivers\Winwf58.sys" Этот файл не нашел. "Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес." Это как? Логи прикрепил, карантин выслал Доктор, я здоров? virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 29 октября, 2008 пользователем Kila Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 29 октября, 2008 Поделиться Опубликовано 29 октября, 2008 Это как? Вижу разобрались, карантин дошёл. Ну что же будем добивать. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\WINDOWS\karna.dat'); BC_ImportAll; BC_DeleteSvc('TrkWkswscsvc'); BC_DeleteSvc('oseDnscache'); BC_DeleteSvc('MSDTCImapiService'); BC_DeleteSvc('DcomLaunchTlntSvr'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. 2.Пофиксить в HijackThis следующие строчки O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\ O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing) Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kila Опубликовано 29 октября, 2008 Автор Поделиться Опубликовано 29 октября, 2008 Надеюсь он сдох. hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 29 октября, 2008 Поделиться Опубликовано 29 октября, 2008 Усё, больше ничего подозрительного в логах. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kila Опубликовано 29 октября, 2008 Автор Поделиться Опубликовано 29 октября, 2008 Большое Человеческое Спасибо Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 29 октября, 2008 Поделиться Опубликовано 29 октября, 2008 Да не за что. Обращайтесь если что, недай бог, конечно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти