Сообщение "Your computer is infected"

Printable View

11.10.2008, 13:25
YBBY

Сообщение "Your computer is infected"

Утром после влючения компютера возле часов вылезло сообщение: "Your computer is infected" и дальше типа инструкция с методами удаления.
Windows XP, KIS7
Не запустился KIS7,AVZ.
Запустились только после переименования.
11.10.2008, 14:27
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\karna.dat','');
QuarantineFile('D:\WINDOWS\system32\brastk.exe','');
DeleteService('Beep');
QuarantineFile('D:\WINDOWS\system32\Drivers\Beep.sys','');
DeleteFile('D:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('D:\WINDOWS\system32\brastk.exe');
DeleteFile('D:\WINDOWS\system32\karna.dat');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Beep');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Пришлите карантин по правилам и повторите логи...
11.10.2008, 15:34
YBBY

Ничего не изменилось, комп ещё туже начал работать,
карантин выслал
11.10.2008, 15:41
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKLM\..\Run: [brastk] brastk.exe
O20 - AppInit_DLLs: karna.dat[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\brastk.exe');
DeleteFile('d:\windows\brastk.exe');
DeleteFile('D:\WINDOWS\brastk.exe');
DeleteFile('karna.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
11.10.2008, 16:20
YBBY

Теперь вроде стабилизировалось и работает как раньше.
11.10.2008, 16:41
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKLM\..\Run: [brastk] brastk.exe[/CODE]

Жалобы есть?
11.10.2008, 17:17
YBBY

Жалоб больше нет, но есть вопрос:
Это второй комп в сети, за последнюю неделю в котором появился "Руткит", если ли смысл выложить логи с других компов?
11.10.2008, 17:18
Гриша

Это не руткит :) Возможность конечно есть, создайте новые темы для других систем...
11.10.2008, 17:22
YBBY

Если не сложно ответить, что это было?
11.10.2008, 17:23
Гриша

Троян :)
22.02.2009, 08:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\brastk.exe - [B]Trojan-Downloader.Win32.Agent.ajiw[/B] (DrWEB: Trojan.Click.19754)[*] d:\\windows\\system32\\drivers\\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] (DrWEB: Trojan.Fakealert.458)[*] d:\\windows\\system32\\karna.dat - [B]Backdoor.Win32.Small.gjm[/B] (DrWEB: Trojan.Proxy.1739)[/LIST][/LIST]