Перейти к содержанию
Правила раздела

Не могу убить Brastk.exe

cook

Автор cook
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

cook Новичок

cook

Опубликовано
Опубликовано (изменено)

Чужие скрипты непомогают , експлорер глючит и звуковая карта вылетает ((

 

Еще появлялись exe который просто качили чего то, но вроде их больше нет

 

помогите если это реально

 

Сообщение от модератора Falcon
Карантин убрал.

virusinfo_syscheck.zip

hijackthis.rar

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
MiStr Корифей

MiStr

Опубликовано
Опубликовано
Чужие скрипты непомогают

Конечно, не помогут. Использование чужих скриптов может ещё и навредить!

 

помогите если это реально

Ожидайте, пожалуйста, ответа специалистов.

Ссылка на комментарий
Поделиться на другие сайты
kos1nus Ветеран

kos1nus

Опубликовано
Опубликовано (изменено)

что за лог такой странный? в графе "автозапуск" к примеру идет ссылка на "C:\Documents" и ниже через несколько пунктов, предположительно продолжение, но отдельным пунктом "Settings\cook\esacjow.exe". это как? О_О

Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Выполнить в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\brastk.exe ');
QuarantineFile('c:\windows\brastk.exe ',' ');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS ',' ');
QuarantineFile('C:\WINDOWS\system32\wilvsdy.exe ',' ');
DeleteFile('c:\windows\brastk.exe');
DeleteFile('C:\WINDOWS\system32\karna.dat');
DeleteFile('C:\Documents and Settings\cook\esacjow.exe');
DeleteFile('C:\WINDOWS\system32\wilvsdy.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После перезагрузки пофиксить в HJT:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\cook\esacjow.exe \s
O4 - HKLM\..\Run: [wilvsdy] C:\WINDOWS\system32\wilvsdy.exe \u
O4 - HKLM\..\Run: [brastk] brastk.exe
O20 - AppInit_DLLs: karna.dat

 

Карантин отправьте на newvirus@kaspersky.com, установите пароль на архив "virus" (без кавычек) и укажите его в письме. Логи повторите.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файлы

c:\windows\system32\brastk.exe
C:\WINDOWS\System32\Drivers\Beep.SYS
C:\WINDOWS\system32\karna.dat

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Если какого-то файла не будет, то переходите к следующему пункту.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('c:\windows\system32\brastk.exe','');
TerminateProcessByName('c:\windows\system32\brastk.exe');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\karna.dat');
BC_ImportAll;
BC_DeleteSvc('Beep');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи. Только все 3 лога, а не 2.

Ссылка на комментарий
Поделиться на другие сайты
cook Новичок

cook

Опубликовано
  • Автор
Опубликовано

Скачать Icesword Немогу уже(

Из нета работает только Www.goggle.ru (он же в стартовой) хатя я им не пользывался никогда

 

Через секунд 5 касперский пытается удалить вирус Smss

 

через 5м вылетает звукавая карта

 

блокируется Explorer(У вас нет прав;-)) даже в Adsl Модэм заходит минут 5

Пишу я вам с телефона, скрипт внесу вручную если не поможет снису систему но поможет это на пару часов((

Ссылка на комментарий
Поделиться на другие сайты
Fasawe Профи

Fasawe

Опубликовано
Опубликовано
Скачать Icesword Немогу уже(

Из нета работает только Www.goggle.ru (он же в стартовой) хатя я им не пользывался никогда

 

Через секунд 5 касперский пытается удалить вирус Smss

 

через 5м вылетает звукавая карта

 

блокируется Explorer(У вас нет прав;-)) даже в Adsl Модэм заходит минут 5

Пишу я вам с телефона, скрипт внесу вручную если не поможет снису систему но поможет это на пару часов((

Эххх... и Касперский разит вирусы налево и направо :)

Зайдите в Пуск>Выполнить, наберите msconfig.

Далее следует проследовать в закладку "автозагрузка" и убрать галочку с avp.exe

Если это то, что я думаю, то заражена одна из сетевых библиотек и Касперский её "вылечивает".

Так вот, после перезагрузки интернет скорее всего заработает обратно и сможете скачать Icesword.

Но как понимаете, компьютер будет заражен, поэтому после скачки лучше Касперский обратно включить...

Пробуйте. Не стоит спешить так быстро сносить систему...

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
Зайдите в Пуск>Выполнить, наберите msconfig.

Далее следует проследовать в закладку "автозагрузка" и убрать галочку с avp.exe

 

Вы думаете так получиться снять каспера с автозагрузки таким способом? Сами-то пробывали?

Ссылка на комментарий
Поделиться на другие сайты
cook Новичок

cook

Опубликовано
  • Автор
Опубликовано

Нет заработал !

 

Через сворд удалил файлы после перезагрузки brastk появился по пути C:\WINDOWS его тоже удалил

 

еще нашел фаил с извесным названием ) по пути C:\WINDOWS\Prefetch\BRASTK.EXE-0B71D44C.pf тоже удалил

 

Перезагрузка ...... и brastk исчез, пока что жду вылетит ли звукавая

 

Вроде все ок

 

Вот логи нет ли там еще что нить

hijackthis3.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Еще осталось немного:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dllcache\beep.sys');
DeleteFile('C:\WINDOWS\karna.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Пофиксить:

O20 - AppInit_DLLs: karna.dat

Ссылка на комментарий
Поделиться на другие сайты
Fasawe Профи

Fasawe

Опубликовано
Опубликовано (изменено)
Вы думаете так получиться снять каспера с автозагрузки таким способом? Сами-то пробывали?

Попробовал... Потом побуцал чуток Касперского и добился нужного результата.

Итак, для нормальной деактивации и работы с хорошим разрешением надо сделать вот что:

Перезагрузка в безопасном режиме с сетевым подключением. На этом этапе Каспер уже не грузится

и можно было бы выходить в интернет, но мы же хотим хорошее разрешение... :)

Потому идем в Пуск>Настройка>Администрирование>Службы. Находим там службу "Kaspersky Antivirus<версия>"

и переводим её из состояния "Авто" в состояние "Отключено".

Затем проводим действия, которые описывал ранее, а именно, идем в Пуск>Выполнить, вводим команду msconfig

и в закладке "Автозагрузка" снимаем галочку с avp.exe

После этого перезагружаем машину и наслаждаемся отсутствием антивируса. Инет начинает работать.

 

Скачиваем IceSword, после чего для возвращения надо всего лишь вернуть в "Автозагрузка" галочку на avp.exe и перезагрузиться.

После перезагрузки антивирус снова заработает. :)

 

Способ только что проверил. Всё отлично сработало.

 

З.Ы. Может как будет энтузиазм - проверю его на порезку файлов через DOS.

Думаю, что результат должен быть примерно тот же...

Изменено пользователем Fasawe
Ссылка на комментарий
Поделиться на другие сайты
cook Новичок

cook

Опубликовано
  • Автор
Опубликовано

Скрипт выполнел !

 

что то с Explorer не то , куда бы я не нажал вылетает (невозможно отобразть страницу) жму обновить и страница открывается и так какждый раз куда бы я не нежал

 

модэм могу только физически перегрузит так как (невозможно отобразить страницу) если обнавляю только часть фенкций видно а кнопки вообще не активны

 

скрин к логам

 

и звуковая вылетела :)

hijackthis4.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

post-7042-1226072633_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
kos1nus Ветеран

kos1nus

Опубликовано
Опубликовано

можно попробовать сделать восстановление сисетмы через АВЗ. открываем авз , фаил-> восстановление системы и ставим галочки напротив строк где есть интеренет эксплорер. далее перезагружаемся и смотрим результат

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • m1pod
      Не работает поиск и пуск не могу решить.
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • Taaeq
      [РЕШЕНО] Не могу удалить майнер в system memory
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • shimcot
      [РЕШЕНО] Не могу избавиться от Trojan.Siggen31.29298, который в дальнейшем распаковывает Tool.BtcMine.2794
      Автор shimcot
      С какого момента заметил заметное снижение частоты кадров. Вирус маскировался в процессах под Microsoft Network Realtime lnspection Service, но с припиской .exe. Оказалось майнер. Удалил, но, как оказалось, при каждом запуске ПК, если включен интернет и антивирус не ловит (сейчас если выключен) его, то все восстанавливается. Использовал Dr Web Cureit, он обозначил загрузчик как Trojan.Siggen31.29298. Помимо лечения самого вируса в C:\ProgramData\CAAService также чистил реестр, чтобы удалить из автозагрузки. Примечательно также то, что в какой-то момент папка CAAService и процесс Powershell.exe добавляются в исключения Windows Defender. Но, как упоминал ранее, вирус самовосстанавливается при наличии включенного интернета. Прилагаю отчет AutoLogger. Также покопавшись в похожих проблемах видел, что просят сделать отчет в uVS. На всякий случай прикреплю и его. Спасибо.
      CollectionLog-2025.06.17-14.54.zip DESKTOP-CSCVQP5_2025-06-17_14-32-53_v5.0.RC2.v x64.7z
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • David1990
      Не могу восстановить с точку восстановления ошибка rstrui.exe 0xc0000017 и SystemSettingAdminFlows.exe 0xc0000017
      Автор David1990
      Сегодня скачал какой то VPN для того что бы перевести регион в Epic Store но после этого начали происходить странные вещи, не могу восстановить систему с помощью точки восстановления выдает ошибку rstrui.exe 0x0000017  и если я пробую восстановить через обновления и безопасность -> Восстановления -> начать, выдает эту же ошибку но уже с этого способа Ошибка; SystemSettingAdminFlows.exe 0xc0000017, переустанавливать систему не могу, боюсь потерять доступ к лицензированных программ которые были на пк. 
      Заранее всем откликнувшимся большое спасибо! 
×
×
  • Создать...