Прошу помочь избавится от этого ...
Прошу помочь избавится от этого ...
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы
Нажмите по нему правой кнопкой мыши и выберите force delete.Код:C:\WINDOWS\System32\Drivers\Beep.SYS C:\WINDOWS\system32\brastk.exe C:\WINDOWS\system32\karna.dat
На запрос потверждения ответьте "да".
Если какого-то файла не будет, приступайте к следующему пункту.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\SNTTOTPT.sys',''); QuarantineFile('C:\WINDOWS\system32\wdfmgr.exe',''); QuarantineFile('C:\WINDOWS\system32\kdyhw.exe',''); QuarantineFile('C:\WINDOWS\system32\oembios.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\karna.dat',''); QuarantineFile('C:\WINDOWS\system32\brastk.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); DeleteFile('C:\WINDOWS\system32\kdyhw.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\brastk.exe'); DeleteFile('C:\WINDOWS\system32\karna.dat'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\oembios.exe'); DeleteFile('C:\WINDOWS\system32\drivers\SNTTOTPT.sys'); BC_ImportAll; BC_DeleteSvc('SNTTOTPT'); BC_DeleteSvc('Beep'); BC_DeleteSvc('PowerManager'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33399
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
85.255.116.154,85.255.112.155 и 217.77.212.2 217.77.208.133 - знакомы Вам?Код:R3 - URLSearchHook: (no name) - - (no file) O20 - AppInit_DLLs: karna.dat
Почему нестандартную АВЗ использовали? Стандартная не запускалась?
Повторите логи.
Все сделал как сказали,фалы удалил, эти IP не знаю 85.255.116.154,85.255.112.155 и 217.77.212.2
Вирус в трее остался,логи ниже.Карантин отправил. Не нашел где скачать Стандартную АВЗ,hijackthis стандартный не заработал пришлось запустить 1.bat
P/S Спасибо за помощь.
Узнал что такое 217.77.212.2,сори что не соблюдаю правила и не отключил инет при выполнение скрипта, без удаленки на машине нельзя работать..
Для клиентов подключенных через PPPoE первичный сервер будет 217.77.212.2, альтернативным сервером будет 217.77.208.133
Остались только вот эти 85.255.116.154,85.255.112.155 которые явно мне не известны!
Отключите восстановление системы!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKLM\..\Run: [brastk] brastk.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4655DB48-FDA1-42ED-9648-2955B8E5254A}: NameServer = 85.255.116.154,85.255.112.155 O17 - HKLM\System\CCS\Services\Tcpip\..\{78B37EE9-40DA-4F4B-973A-2E2F19622D77}: NameServer = 85.255.116.154,85.255.112.155 O17 - HKLM\System\CCS\Services\Tcpip\..\{989DECDB-74AC-43E3-AD76-40E516589A7A}: NameServer = 85.255.116.154,85.255.112.155 O17 - HKLM\System\CCS\Services\Tcpip\..\{A919EBC0-BA3F-4D4D-8AB5-ED463F9F1A99}: NameServer = 85.255.116.154,85.255.112.155 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155 O17 - HKLM\System\CS1\Services\Tcpip\..\{4655DB48-FDA1-42ED-9648-2955B8E5254A}: NameServer = 85.255.116.154,85.255.112.155 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155 O17 - HKLM\System\CS2\Services\Tcpip\..\{4655DB48-FDA1-42ED-9648-2955B8E5254A}: NameServer = 85.255.116.154,85.255.112.155 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\spoolsv.exe',''); DeleteService('UMWdf'); TerminateProcessByName('c:\windows\brastk.exe'); DeleteFile('c:\windows\brastk.exe'); DeleteFile('C:\WINDOWS\system32\wdfmgr.exe'); DeleteFile('kdyhw.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('UMWdf'); BC_Activate; RebootWindows(true); end.
Скрипты ваши не выполнял,смог на сайт зайти утром,полазил в логах АВЗ и hijackthis, вроде все пофиксил как и вы... логин и карантин ниже
обновил карантин, проверил все диски скриптами
9:24 2081107_012319_virus_4913ece7d1421.zip
В хост файл вы вносили записи?
Скачайте обычную АВЗ, обновите базы.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\brastk.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
я не скачал обычную АВЗ потому что не нашел нормлаьной работающей ссылки,скиньте ссылку скачаю!
Скачал стандартный АВЗ,проверил все диски, логи ниже, карантин обновил
AVZPM установите, перезагрузитесь и сделайте новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
AVZPM установил, логи ниже + обновил карантин
выполняйте указания из поста 5 ... и повторите логи
те логи которые выше уже с выполнеными указаниями в 5 посте!
віполняйте указания из поста 5 .... заново
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\Drivers\TDSSpaxt.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин,скачайте CureIT, сделайте полную проверку, скачайте заного AVZ и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\systemroot\system32\drivers\TDSSpaxt.sys',''); DeleteFile('\systemroot\system32\drivers\TDSSpaxt.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Какого второго компа?
Уважаемый(ая) RuslanH, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.