Решена Помогите побороть brastk

Тема в разделе "Лечение компьютерных вирусов", создана пользователем sans, 24 ноя 2008.

Статус темы:
Закрыта.
  1. sans
    Оффлайн

    sans Гость

    Ребета, вы уже однажды помогли мне. помогите ещё раз. подцепил какую-то заразу, в процесах заметил этот brastk.
    Логи как положено прилагаю.
     
  2. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл
    Код (Text):
    C:\WINDOWS\system32\Drivers\Beep.sys
    C:\WINDOWS\system32\brastk.exe
    C:\WINDOWS\system32\dllcache\beep.sys
    C:\WINDOWS\system32\drivers\beep.sys
    Нажмите по нему правой кнопкой мыши и выберите Copy to.
    Выберите папку, куда Вы хотите скопировать файл и перед сохранением измените расширения файлов.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\beep.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\karna.dat','');
     QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('c:\windows\srvany.exe','');
     QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
     TerminateProcessByName('c:\windows\system32\drivers\ctfmon.exe');
     DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     DeleteFile('C:\WINDOWS\system32\brastk.exe');
     DeleteFile('C:\WINDOWS\system32\karna.dat');
     DeleteFile('C:\WINDOWS\system32\dllcache\beep.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\beep.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Beep');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему. Файлы скопированные при помощи IceSword поместите в архив под пароль virus и вышлите на тот же адрес.

    Повторите логи.
     
  3. sans
    Оффлайн

    sans Гость

    Спасибо, сейчас попробую. А то уже надаело самостоятельно бороться.
     
  4. sans
    Оффлайн

    sans Гость

    Вроде бы помогло. Новые логи.
     
  5. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    Карантин получил, все враги известные.

    c:\windows\system32\drivers\ctfmon.exe - Trojan.Win32.Agent.anyp,
    C:\WINDOWS\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.a, C:\WINDOWS\system32\dllcache\beep.sys - Backdoor.Win32.UltimateDefender.a, C:\WINDOWS\system32\ntos.exe - Trojan-Spy.Win32.Zbot.gtb, C:\WINDOWS\system32\karna.dat - Backdoor.Win32.Small.gjm, C:\WINDOWS\system32\brastk.exe - Trojan-Downloader.Win32.FraudLoad.vdpa,
    в логах больше ничего подозрительного. Интересно, что с первого раза некоторые удалились, обычно нужно добивать.
     
  6. sans
    Оффлайн

    sans Гость

    Я просо запустил скрипт один раз, а компьютер долго не мог загрузиться, я кнопкой принудительно перезагрузил, а потом выполнил скрипт ещё раз, после второго компьютер нормально перезагрузился, после этого я проверил компьютер ещё раз утилитами.

    Спасибо. Большой респект всем вам за хорошее дело.
     
Статус темы:
Закрыта.

Поделиться этой страницей