Помогите с brastk.exe!

[Евгений88]

Помогите пожалуйста вручную удалить вирус, так как у меня стоит KAV 7.0.1.325 , а он не справился. Обновления сегодняшние.

Результат воздействия следующий:

1 По пути C:\windows\ расположился файл brastk.exe, который удалить невозможно (удаляю, появляется снова).

2 По пути C:\windows\system32 расположились файлы brastk.exe и braviax.exe, которые тоже удалить невозможно (удаляю, появляется снова).

Сообщение от модератора Falcon

Карантин cure.zip добавлять не нужно.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено 22 ноября, 2008 пользователем Falcon

[iradov]

Строгое предупреждение от модератора Falcon

Большая просьба сначала ознакомиться с ситуацией, а лишь потом что-либо советовать. Первое устное предупреждение.

Изменено 22 ноября, 2008 пользователем Falcon

[Гриша]

Обновите базы AVZ!

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe');
DeleteFile('msansspc.dll');
DeleteFile('C:\windows\brastk.exe, ');
DeleteFile('C:\WINDOWS\system32\braviax.exe ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');	
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

[Евгений88]

Карантин после скрипта отправил. Залил новые логи. Теперь у меня КАV не хочет запускаться и HijackThis.exe тоже! По этому данные этой программы сделать не смог

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

C:\RECYCLER\S-1-5-21-507921405-1417001333-839522115-1003\Dc23.pif - это что? Переименованная АВЗ в корзине?

 

 

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файлы

c:\windows\system32\brastk.exe
C:\WINDOWS\System32\Drivers\Beep.SYS
C:\WINDOWS\system32\karna.dat
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\dllcache\figaro.sys

Нажмите по нему правой кнопкой мыши и выберите Copy to.

Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу измениете расширение на ddd.

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\dllcache\figaro.sys','');
QuarantineFile('C:\WINDOWS\system32\dllcache\beep.sys','');
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('c:\windows\system32\brastk.exe','');
QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
TerminateProcessByName('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\jspWin.dll');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\karna.dat');
DeleteFile('C:\WINDOWS\system32\dllcache\beep.sys');
DeleteFile('C:\WINDOWS\system32\dllcache\figaro.sys');
BC_ImportAll;
BC_DeleteSvc('Beep');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. в письме укажите ссылку на тему.

Файлы скопированные при помощи IceSword поместите в архив под пароль virus и вышлите на тот-же адрес.

Повторите логи.

[Евгений88]

Спасибо Вам всем, но я уже решил эту проблему сам, пусть и в ручную. Удалив Beep.sys и заменив его с инсталлера Винды, а потом почистил реестр, от всего оставшегося.