• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Помогите побороть brastk

Статус
В этой теме нельзя размещать новые ответы.
#1
Ребета, вы уже однажды помогли мне. помогите ещё раз. подцепил какую-то заразу, в процесах заметил этот brastk.
Логи как положено прилагаю.
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
#2
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл
Код:
C:\WINDOWS\system32\Drivers\Beep.sys
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\beep.sys
Нажмите по нему правой кнопкой мыши и выберите Copy to.
Выберите папку, куда Вы хотите скопировать файл и перед сохранением измените расширения файлов.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\beep.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\karna.dat','');
 QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
 QuarantineFile('c:\windows\srvany.exe','');
 QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
 TerminateProcessByName('c:\windows\system32\drivers\ctfmon.exe');
 DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
 DeleteFile('C:\WINDOWS\system32\brastk.exe');
 DeleteFile('C:\WINDOWS\system32\karna.dat');
 DeleteFile('C:\WINDOWS\system32\dllcache\beep.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\beep.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Beep');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему. Файлы скопированные при помощи IceSword поместите в архив под пароль virus и вышлите на тот же адрес.

Повторите логи.
 
#3
Спасибо, сейчас попробую. А то уже надаело самостоятельно бороться.
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
#5
Карантин получил, все враги известные.

c:\windows\system32\drivers\ctfmon.exe - Trojan.Win32.Agent.anyp,
C:\WINDOWS\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.a, C:\WINDOWS\system32\dllcache\beep.sys - Backdoor.Win32.UltimateDefender.a, C:\WINDOWS\system32\ntos.exe - Trojan-Spy.Win32.Zbot.gtb, C:\WINDOWS\system32\karna.dat - Backdoor.Win32.Small.gjm, C:\WINDOWS\system32\brastk.exe - Trojan-Downloader.Win32.FraudLoad.vdpa,
в логах больше ничего подозрительного. Интересно, что с первого раза некоторые удалились, обычно нужно добивать.
 
#6
Интересно, что с первого раза некоторые удалились, обычно нужно добивать.
Я просо запустил скрипт один раз, а компьютер долго не мог загрузиться, я кнопкой принудительно перезагрузил, а потом выполнил скрипт ещё раз, после второго компьютер нормально перезагрузился, после этого я проверил компьютер ещё раз утилитами.

Спасибо. Большой респект всем вам за хорошее дело.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу