Брастк.ехе попал ко мне

[henkok]

Мой пк атаковал вирус. Вчера после серфа по инету словил неизвестный вирус. (уже знаю brastk.exe )
Перезапуск.
Загрузка, нечего не работает.
Перезапуск. В трее странное сообщение: Винда нашла вирус, кликай сюда, я скачаю софт и мы тебя вылечим (своими словами) (иконка красный крестик)

После этого антивирь не запускаеться, файлы не проверяються, на сайты касперского не заходит. На сайты онлайн проверки пк на вирусы - тоже.

Что могу предоставить из инфы:
1. анализ авза
2. анализ хайджека
3. сисинфо.тхт
4. xls отчет spydetector
5. скрин Процессов ( после того как я вырубил половину и вместе с ними крестик в трее)
6. скрин процесов сразу после загрузки винды (крестик + все процесы)
7. скажите что - смогу, покажу.


урл проверки сисинфо http://gsi.kaspersky.fr/lire.php?hl=...b4a0319335324f

В архиве все данные.
3 Файла отчета отдельно

Всем спасибо.
ЗЫ а что он делает? чего бояться?

[Aleksandra]

spydetector - деинсталлируйте!

Скопируйте файл C:\WINDOWS\system32\Drivers\Beep.sys
Найдите и удалите C:\WINDOWS\system32\Drivers\Beep.sys

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteAVUpdate;
 TerminateProcessByName('c:\windows\system32\brastk.exe');
 QuarantineFile('c:\windows\system32\brastk.exe','');
 QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Mtb53.sys','');
 QuarantineFile('C:\WINDOWS\system32\karna.dat','');
 DeleteFile('c:\windows\system32\brastk.exe');
 DeleteFile('C:\WINDOWS\system32\brastk.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Mtb53.sys');
 DeleteFile('C:\WINDOWS\system32\karna.dat');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('Beep');
 BC_DeleteSvc('Mtb53');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33479

3. Сделайте новые логи.

[henkok]

полсе перезагрузки делаю новые логи.
только значек и брастк.ехе всеравно не пропал.

[henkok]

Все сделал как вы говорили. Ту программу удалил.
Новые логи прикрепляю.
Незнаю важно ли, но касперский полностью не запускаеться. Некоторые службы отключены, базы повреждены. Пробовал делать обновление - не помогает. Как поступить? удалить и поставить снова?
Спасибо. Жду

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine; 
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.sys','');
 DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.sys');
 DeleteFile('C:\WINDOWS\brastk.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('spydetector');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33479

3. Пофиксите в HijackThis:

O4 - HKLM\..\Run: [brastk] brastk.exe
O20 - AppInit_DLLs: karna.dat

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[henkok]

все сделал как вы сказали.
хайджеком нечего не фиксил, так как тех строк небыло.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Жалобы есть?

[henkok]

Гриша, выполнил. Несколько раз не мог запустить пк, но теперь загрузился.

Но по прежнему не могу зайти на сайт http://www.kaspersky.ru/trials?chapter=186545270 что бы скачать и переустановить поврежденный антивирь. Сайт блокирует вирус?
Что делать дальше?

Добавлено через 3 минуты

как мои последние логи, компьютер полностью излечился?

[Гриша]

Щас решим, у вас работает эмулятор дисков, поэтому сплайсинга не видно...

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZPMStatus(true);
RebootWindows(true);
end.

Повторите логи...

[henkok]

все сделал. 2 лога прикрепил.

[Гриша]

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\Drivers\TDSSpqlt.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\TDSSpqlt.sys','');
 DeleteFile('\systemroot\system32\drivers\TDSSpqlt.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[henkok]

Гриша, все сделал.
Логи закрепил, карантин выслал.
Сайт каспера - работает.

[Гриша]

В логах чисто, сделайте полную проверку свежими базами...

[henkok]

Все проверил. Антивирь последний, базы тоже. Теперь не буду его больше выключать)

Гриша, Саша спасибо вам огромное за помощь Сам бы я сносил винду, а так.. "малой кровью"