Перейти к содержанию
Правила раздела

Проблема с brastk.exe

-Blood-

Автор -Blood-
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

-Blood-

-Blood-

Опубликовано
Опубликовано

Здравствуйте, у меня тоже обнаружился вирус brastk.exe. Антивирус Касперского ничего не смог сделать. Cкачал AVZ и HiJackThis. Архив с AVZ не захотел разархивироваться (выдавая ошибки), почитав похожие темы, обнаружил другую версию AVZ – evrika.pif, запустился без проблем.

Архив с HiJackThis разархивировался, но программа сразу тоже не запустилась, пришлось сменить имя на 1.exe и все заработало.

Сделал логи как вы написали.

Прошу помощи на вас вся надежда.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ctlsys.dll','');
QuarantineFile('C:\WINDOWS\system32\mmctl.sys','');
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\system32\brastk.exe','');
TerminateProcessByName('c:\windows\system32\brastk.exe');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\karna.dat');
DeleteFile('C:\WINDOWS\system32\mmctl.sys');
DeleteFile('C:\WINDOWS\system32\ctlsys.dll');
BC_ImportAll;
BC_DeleteSvc('mmctl');
BC_DeleteSvc('Beep');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus (АВЗ пароль установит сама). После того как получите ответ запостите нам.

 

 

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
-Blood-

-Blood-

Опубликовано
  • Автор
Опубликовано (изменено)

Архив отослал, пароль указал. Жду ответа. :)

Новые логи.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus (АВЗ пароль установит сама). После того как получите ответ запостите нам.
Получил ответ. Вывести его сюда?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Изменено пользователем -Blood-
Ссылка на комментарий
Поделиться на другие сайты
-Blood-

-Blood-

Опубликовано
  • Автор
Опубликовано

Вот ответ:

 

Здравствуйте,

 

Beep.sys - Backdoor.Win32.UltimateDefender.a,

 

ctlsys.dll - Trojan-Spy.Win32.Goldun.bew,

 

karna.dat - Backdoor.Win32.Small.gjm

 

Эти файлы определяются антивирусом. Обновите антивирусные базы.

 

brastk.exe_ - Hoax.Win32.Renos.fez

 

Детектирование файла будет добавлено в следующее обновление.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\brastk.exe','');
TerminateProcessByName('c:\windows\brastk.exe');
DeleteFile('c:\windows\brastk.exe');
DeleteFile('C:\WINDOWS\karna.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. в письме укажите ссылку на тему.

 

 

2.Пофиксить в HijackThis следующие строчки

O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing)

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
-Blood-

-Blood-

Опубликовано
  • Автор
Опубликовано

Скрипты ввел, карантин отослал. Из автозагрузки удалил ключ вируса.

Все, наличия этой заразы в системе не замечаю. Надеюсь так оно и есть. :)

 

Новенькие логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

Зловредного в логах больше ничего не вижу. Можете запустить антивирус на полную проверку, может где какая зараза и валяется.

Ссылка на комментарий
Поделиться на другие сайты
-Blood-

-Blood-

Опубликовано
  • Автор
Опубликовано

Ура! Большое СПАСИБО, без вас бы не справился. А то знакомые предлагали сносить все, так как вирус этот якобы нельзя удалить. :)

Переставлю Касперский и полностью проверюсь.

Еще раз благодарю. :) :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Yann
      Проблема с майнером
      Автор Yann
      Добрый день!
      Проблема с вирусом/майнером, нагружал CPU до максимальных значений и система в целом была нестабильна.
      При открытии диспетчера задач несколько раз автоматически закрывал его или сбрасывал нагрузку на процессор, впрочем через другие утилиты мониторинга нагрузку можно было наблюдать постоянно.
      Попытался скачать Dr.Web что бы провести скан, поскольку защитник винды ничего не показал, но вирус не дал запустить экзешник установщика из за отсутствия прав администратора.
      После этого я не на шутку перепугался и полностью снес винду, отформатировал/удалил каждый раздел на дисках и установил новую.
      Первым же делом скачал Dr.Web, в этот раз установка прошла без проблем и я провел полный скан который ничего не нашёл, посчитав что проблемы окончены начал скачивать гугл хром, но при попытке установки его экзешника антивирус заругался на угрозу и поместил экзешник и ещё один файл,в карантин и брэндмауер указал что процесс updater.exe пытается выйти в сеть и разумеется я запретил ему это, при этом я снова получил ошибку об отсутствии необходимых прав.
      После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю, провел ещё проверку с помощью Kaspersky Virus Removal tool и все было чисто, но я совершенно не уверен в том что так будет всегда и хотел бы получить экспертное мнение.
      Прикладываю логи автологера и скриншот файлов попавших в карантин:

      CollectionLog-2025.08.22-04.48.zip
    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Юрий Григорьев
      Некоторые проблемы
      Автор Юрий Григорьев
      Добрый день!
      У меня возникла такая проблема:
      В kaspersky security center 10 не активна кнопка для запуска/остановки kaspersky endpoint security на клиентских тачках. Для некоторых административных групп она активна, а для остальных - нет. Я не могу разобраться в чем косяк и как исправить.
       
      Проблема2. Поставили на клиента новую версию kes и агента, в административной группе на сервере компьютер есть, но в kes не указано, что он работает под политикой. В чем может быть причина и как исправить?

    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • Readkey11
      Проблема авторизации с доменной учетной записью в ksc linux
      Автор Readkey11
      Добрый день, подскажите пожалуйста касаемо использования доменной уз для авторизации в веб-консоли на кластер KSC 15.1 linux
      Настроил опрос домена, получил информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.
      Назначил доменной уз роль главного администратора на сервере KSC
      При попытке авторизации после длительного таймаута получаю сообщение "Недопустимые учетные данные. Пожалуйста, проверьте учетные данные и попробуйте войти снова."(данные вводятся корректно уз@домен)
      Порт 389 доступен, контроллер домена развернут на samba
      На нодах выполнил команду, для отключения принудительной проверки сертификатов
      sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT_AUTH -t d -v 0
      Также пробовал настраивать опрос домена с помощью точки распространения на ос Linux, ошибка та же.
×
×
  • Создать...