Junior Member
Вес репутации
57
Брастк.ехе попал ко мне
Мой пк атаковал вирус. Вчера после серфа по инету словил неизвестный вирус. (уже знаю brastk.exe )
Перезапуск.
Загрузка, нечего не работает.
Перезапуск. В трее странное сообщение: Винда нашла вирус, кликай сюда, я скачаю софт и мы тебя вылечим (своими словами) (иконка красный крестик)
После этого антивирь не запускаеться, файлы не проверяються, на сайты касперского не заходит. На сайты онлайн проверки пк на вирусы - тоже.
Что могу предоставить из инфы:
1. анализ авза
2. анализ хайджека
3. сисинфо.тхт
4. xls отчет spydetector
5. скрин Процессов ( после того как я вырубил половину и вместе с ними крестик в трее)
6. скрин процесов сразу после загрузки винды (крестик + все процесы)
7. скажите что - смогу, покажу.
урл проверки сисинфо http://gsi.kaspersky.fr/lire.php?hl=...b4a0319335324f
В архиве все данные.
3 Файла отчета отдельно
Всем спасибо.
ЗЫ а что он делает? чего бояться?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
spydetector - деинсталлируйте!
Скопируйте файл C:\WINDOWS\system32\Drivers\Beep.sys
Найдите и удалите C:\WINDOWS\system32\Drivers\Beep.sys
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteAVUpdate;
TerminateProcessByName('c:\windows\system32\brastk.exe');
QuarantineFile('c:\windows\system32\brastk.exe','');
QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mtb53.sys','');
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mtb53.sys');
DeleteFile('C:\WINDOWS\system32\karna.dat');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Beep');
BC_DeleteSvc('Mtb53');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33479
3. Сделайте новые логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
57
полсе перезагрузки делаю новые логи.
только значек и брастк.ехе всеравно не пропал.
Junior Member
Вес репутации
57
Все сделал как вы говорили. Ту программу удалил.
Новые логи прикрепляю.
Незнаю важно ли, но касперский полностью не запускаеться. Некоторые службы отключены, базы повреждены. Пробовал делать обновление - не помогает. Как поступить? удалить и поставить снова?
Спасибо. Жду
Вложения
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.sys','');
DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.sys');
DeleteFile('C:\WINDOWS\brastk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('spydetector');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33479
3. Пофиксите в HijackThis:
O4 - HKLM\..\Run: [brastk] brastk.exe
O20 - AppInit_DLLs: karna.dat
4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Последний раз редактировалось Aleksandra; 08.11.2008 в 13:16 .
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
57
все сделал как вы сказали.
хайджеком нечего не фиксил, так как тех строк небыло.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Жалобы есть?
Junior Member
Вес репутации
57
Гриша, выполнил. Несколько раз не мог запустить пк, но теперь загрузился.
Но по прежнему не могу зайти на сайт http://www.kaspersky.ru/trials?chapter=186545270 что бы скачать и переустановить поврежденный антивирь. Сайт блокирует вирус?
Что делать дальше?
Добавлено через 3 минуты
как мои последние логи, компьютер полностью излечился?
Последний раз редактировалось henkok; 08.11.2008 в 13:50 .
Причина: Добавлено
Щас решим, у вас работает эмулятор дисков, поэтому сплайсинга не видно...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
57
все сделал. 2 лога прикрепил.
Вложения
Скачать ,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\system32\Drivers\TDSSpqlt.sys
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\TDSSpqlt.sys','');
DeleteFile('\systemroot\system32\drivers\TDSSpqlt.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
57
Гриша, все сделал.
Логи закрепил, карантин выслал.
Сайт каспера - работает.
Вложения
В логах чисто, сделайте полную проверку свежими базами...
Junior Member
Вес репутации
57
Все проверил. Антивирь последний, базы тоже. Теперь не буду его больше выключать)
Гриша, Саша спасибо вам огромное за помощь Сам бы я сносил винду, а так.. "малой кровью"