Вниманию хелперов

**vaber** · 04.07.2007, 16:43

Просматривая тему "Помогите" наткнулся на это:
http://virusinfo.info/showthread.php?t=10618&page=3
Там пользователь под ником Darria обратилась за помощью в удаление вирусов с ПК. Но все закончилось тем, что один вирус так и остался. (ckeacke.dll и mnqvberu.sys). Поскольку возможно обращение еще пользователей с данной проблемой, то решил описать как его можно удалить.
Как бы не было обидно, но с помощью AVZ его не удалить ( и всякими авенгерами тоже).
Самое главное - удалить драйвер. Это можно сделать с помощью RKU. Запускается этот антируткит, в меню "затирания/копирования" вводим путь к драйверу. Производим низкоуровневое затирание. Перезагружаемся. Библиотеку удаляем с помощью отложенного удаления AVZ (активировав AVZGuard). После перезагрузки фиксим winlogon и BHO. Все.
З.Ы. С помощью этого же RKU можно драйвер предварительно скопировать в нужный каталог.
По классификации KL драйвер определяется как Trojan.Win32.Delf.zj.
Надеюсь - эта инфа будет полезна.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 04.07.2007, 17:02

Предлагаемая процедура удаления была проделана на практике?

**vaber** · 04.07.2007, 18:24

Да.

**Зайцев Олег** · 04.07.2007, 22:01

информация полезна - противоядие сделать не сложно, что и будет сделано ...

**SuperBrat** · 06.07.2007, 22:51

По теме "как безболезненно удалить вирусы ?" от skull2005.

Есть удачный опыт многократного лечения этой проблемы. "Установка и удаление программ" нормализует свою работу после установки патчей Windows2000-KB891861-x86-RUS.EXE или Windows2000-KB891861-x86-enu.EXE (известный как Service Pack 4 Update Rollup) и WindowsInstaller-KB893803-v2-x86.exe (Windows Installer 3.1 Redistributable).

**Палыч** · 06.07.2007, 23:16

Сообщение от SuperBrat

По теме "как безболезненно удалить вирусы ?" от skull2005.

Есть удачный опыт многократного лечения этой проблемы. "Установка и удаление программ" нормализует свою работу после установки патчей Windows2000-KB891861-x86-RUS.EXE или Windows2000-KB891861-x86-enu.EXE (известный как Service Pack 4 Update Rollup) и WindowsInstaller-KB893803-v2-x86.exe (Windows Installer 3.1 Redistributable).

Первый файл, прямая ссылка на скачку -- http://download.microsoft.com/downlo...v2-x86-RUS.EXE
Второй файл скачался легко и просто с http://www.sharing.ru/dl/38105/Windo...-x86.exe.html#

Я их оба скачал. Следовательно -- могу оба залить на любой файлообменник.
Как лучше поступить?

**SuperBrat** · 07.07.2007, 12:47

В ответ на http://virusinfo.info/showpost.php?p...0&postcount=12
skull2005, если у вас уже стоит SP4, то переустанавливать его не надо (хотя и не повредит, но займет некоторое время).
Для вашей английской версии ставите сразу Windows2000-KB891861-x86-enu.EXE, затем WindowsInstaller-KB893803-v2-x86.exe для закрепления эффекта.

**pig** · 07.07.2007, 18:14

И ещё сотню заплаток после того. Сколько тому роллапу? Кажется, года два уже, некоторые дыры не по одному разу патчили.

**SuperBrat** · 07.07.2007, 19:12

Сообщение от pig

И ещё сотню заплаток после того. Сколько тому роллапу? Кажется, года два уже, некоторые дыры не по одному разу патчили.

+1. Само собой.

**Jack2** · 09.07.2007, 02:46

http://virusinfo.info/showthread.php?t=10892
Хотел чуваку написать, чтобы он обновил антивирусник и провел полное сканирование, а туда только хэлперов пускают...

**drongo** · 09.07.2007, 09:04

Сообщение от Jack2

Хотел чуваку написать, чтобы он обновил антивирусник и провел полное сканирование, а туда только хэлперов пускают...

Этот совет описан в первом пункте правил, к тому же личку никто пока не запретил.Только хелперы имеют право отвечать в разделе "Помогите" для порядка и это правильно

**SuperBrat** · 30.08.2007, 19:47

Скачал DRWeb (Cure-It), прогнал Cure-It затем AVZ. В логах, что получилось. Лог Cure-It не смог сделать (не знаю как)

Лог "CureIt.log" лежит в папке "C:\Documents and Settings\имя пользователя\DoctorWeb"

**Shu_b** · 30.08.2007, 22:42

Сообщение от SuperBrat

Лог "CureIt.log" лежит в папке "C:\Documents and Settings\имя пользователя\DoctorWeb"

Проще так: пуск - выполнить - %userprofile%\DoctorWeb

**SuperBrat** · 31.08.2007, 19:48

По теме http://virusinfo.info/showthread.php?t=12068
Сайт europaproperty.com действительно заразный. Вот парочка детектов:

File index.php.--- received on 08.31.2007 17:37:38 (CET)
Antivirus Version Last Update Result
BitDefender 7.2 2007.08.31 Exploit.Html.Ieslice.P
DrWeb 4.33 2007.08.31 VBS.PackFor
Fortinet 3.11.0.0 2007.08.31 JS/Agent.E!tr
F-Secure 6.70.13030.0 2007.08.31 JS/Laume.gen2
Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.JS.Agent.et
McAfee 5109 2007.08.30 JS/Downloader-AUD
Microsoft 1.2803 2007.08.31 TrojanDownloader:JS/Psyme.gen
Norman 5.80.02 2007.08.31 JS/Laume.gen2
Sophos 4.21.0 2007.08.31 Mal/ObfJS-A
Symantec 10 2007.08.31 Downloader
TheHacker 6.1.9.175 2007.08.31 Trojan/Downloader.vbs
VirusBuster 4.3.26:9 2007.08.30 JS.Psyme.DD.Gen
Webwasher-Gateway 6.0.1 2007.08.31 JavaScript.CodeUnfolding.gen!High (suspicious)

Additional information
File size: 6146 bytes
MD5: 996ee978676b5dc361b26d0f555ebe22
SHA1: 22925cc2dccecf30c617d1e74320c0bd1506702e

File noname_3_.htm received on 08.31.2007 17:37:49 (CET)
Antivirus Version Last Update Result
AntiVir 7.4.1.66 2007.08.31 HEUR/Exploit.HTML
BitDefender 7.2 2007.08.31 Exploit.Html.Ieslice.P
DrWeb 4.33 2007.08.31 VBS.PackFor
Fortinet 3.11.0.0 2007.08.31 JS/Agent.E!tr
F-Secure 6.70.13030.0 2007.08.31 Trojan-Downloader.JS.IESlice.c
Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.JS.Agent.et
Kaspersky 4.0.2.24 2007.08.31 Trojan-Downloader.JS.IESlice.c
McAfee 5109 2007.08.30 JS/Downloader-AUD
Microsoft 1.2803 2007.08.31 TrojanDownloader:JS/Psyme.gen
Norman 5.80.02 2007.08.31 JS/Laume.gen2
Sophos 4.21.0 2007.08.31 Mal/ObfJS-A
Symantec 10 2007.08.31 Downloader
TheHacker 6.1.9.175 2007.08.31 Trojan/Downloader.vbs
VirusBuster 4.3.26:9 2007.08.31 JS.Psyme.DD.Gen
Webwasher-Gateway 6.0.1 2007.08.31 Heuristic.Exploit.HTML

Additional information
File size: 10211 bytes
MD5: 1776b8f8e60506a319fee9c0fa8d5e26
SHA1: 60b54544f0ff378bb1374449c9d362d1ab697e92

**Макcим** · 31.08.2007, 19:54

А почему парочка? Первый скрипт выводит

<center>Sorry! You IP is blocked.</center>

**SuperBrat** · 31.08.2007, 19:55

Сообщение от Maxim

А почему парочка? Первый скрипт выводит

Opera?

**Макcим** · 31.08.2007, 21:11

При чем здесь Opera?

**SuperBrat** · 31.08.2007, 21:28

"Sorry! You IP is blocked." получают пользователи альтернативных браузеров. Чтобы получить те образцы пришлось маскироваться под браузер IE.

**Макcим** · 31.08.2007, 22:43

Я получил этот скрипт через IE.

**SuperBrat** · 01.09.2007, 09:22

ЛК отвечает:

Hello,
index.php.--- - Trojan-Downloader.VBS.Small.eu
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
noname[3].htm_ - Trojan-Downloader.JS.IESlice.c
This file is already detected. Please update your antivirus bases.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.

Вниманию хелперов

Опции темы

Вниманию хелперов

Похожие темы

Вниманию пользователей, пострадавших от lockdir.exe!

Ваши права в разделе