Kila Опубликовано 29 октября, 2008 Опубликовано 29 октября, 2008 Добрый день, подцепил brastk.exe. Помогите, пожалуйста, с его удалением. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar
Kila Опубликовано 29 октября, 2008 Автор Опубликовано 29 октября, 2008 Разве логов не достаточно? Или я что-то не так сделал?
kos1nus Опубликовано 29 октября, 2008 Опубликовано 29 октября, 2008 (изменено) Разве логов не достаточно? Или я что-то не так сделал? нет все так просто C. Tantin не логи попросил, а сам фаил(вирус) Изменено 29 октября, 2008 пользователем kos1nus
ТроПа Опубликовано 29 октября, 2008 Опубликовано 29 октября, 2008 Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл e:\windows\system32\brastk.exeE:\WINDOWS\system32\WinCtrl32.dll E:\WINDOWS\system32\winrkp32.dll E:\WINDOWS\system32\Drivers\Winpx03.sys E:\WINDOWS\System32\Drivers\Winwf58.sys E:\WINDOWS\system32\Drivers\Beep.sys Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу измените расширение каждому на ddd. Затем нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\system32\wini10543.exe',''); QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe',''); QuarantineFile('E:\WINDOWS\system32\karna.dat',''); QuarantineFile('E:\WINDOWS\system32\twext.exe',''); QuarantineFile('E:\WINDOWS\System32\Drivers\Winwf58.sys',''); QuarantineFile('E:\WINDOWS\system32\Drivers\Winpx03.sys',''); QuarantineFile('e:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('E:\WINDOWS\system32\winrkp32.dll',''); QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('e:\windows\system32\brastk.exe',''); TerminateProcessByName('e:\windows\system32\brastk.exe'); DeleteFile('e:\windows\system32\brastk.exe'); DeleteFile('e:\WINDOWS\system32\dllcache\beep.sys'); DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('E:\WINDOWS\system32\winrkp32.dll'); DeleteFile('E:\WINDOWS\system32\Drivers\Winpx03.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winwf58.sys'); DeleteFile('E:\WINDOWS\system32\twext.exe'); DeleteFile('E:\WINDOWS\system32\karna.dat'); DeleteFile('WinCtrl32.dll'); DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SHUJO523\Install[2].exe'); DeleteFile('E:\WINDOWS\system32\wini10543.exe'); BC_ImportAll; BC_DeleteSvc('Winpx03'); BC_DeleteSvc('Beep'); BC_DeleteSvc('Winwf58'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес. Повторите логи.
Kila Опубликовано 29 октября, 2008 Автор Опубликовано 29 октября, 2008 (изменено) Выслал файл на указаный адрес. З.Ы. Это я про brastk.exe "E:\WINDOWS\System32\Drivers\Winwf58.sys" Этот файл не нашел. "Скопированные Айсвордом файлы запакуйте в карантин под пароль virus и вышлите на тот же адрес." Это как? Логи прикрепил, карантин выслал Доктор, я здоров? virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 29 октября, 2008 пользователем Kila
ТроПа Опубликовано 29 октября, 2008 Опубликовано 29 октября, 2008 Это как? Вижу разобрались, карантин дошёл. Ну что же будем добивать. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\WINDOWS\karna.dat'); BC_ImportAll; BC_DeleteSvc('TrkWkswscsvc'); BC_DeleteSvc('oseDnscache'); BC_DeleteSvc('MSDTCImapiService'); BC_DeleteSvc('DcomLaunchTlntSvr'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. 2.Пофиксить в HijackThis следующие строчки O20 - AppInit_DLLs: karna.dat O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\ O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing) Повторите логи.
Kila Опубликовано 29 октября, 2008 Автор Опубликовано 29 октября, 2008 Надеюсь он сдох. hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
ТроПа Опубликовано 29 октября, 2008 Опубликовано 29 октября, 2008 Усё, больше ничего подозрительного в логах.
ТроПа Опубликовано 29 октября, 2008 Опубликовано 29 октября, 2008 Да не за что. Обращайтесь если что, недай бог, конечно.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти