Printable View
Нет!! Борьба будет продолжена до победного конца.
Первый скрипт из сообщения #37 выполнить в защищенном режиме.Если в карантин ничего не попадет, то там же поискать этот злосчастный C:\WINDOWS\system32\drivers\mnqvberu.sys
Он очень нужен. Есть мнение, что это новая модификация.
будем искать...
Всё по-прежнему: ошибка прямого чтения, в карантин не попадает.
Следствие зашло в тупик?
Запросил "помощь у зала" (Олега Зайцева)
[B]Darria[/B],
1. Cкачайте [URL="http://swandog46.geekstogo.com/avenger.zip"]The Avenger[/URL]
2. Распакуйте программу к примеру в каталог C:\Avn
3. Запустите Avenger.exe и выберите "Input script manually"
4. Нажмите на иконку с увеличительным стеклом.
5. Введите в открывшееся окно текст из рамки ниже, (для этого пометьте текст в рамке выберите "копировать" и "вставить" его в окно программы) -
[CODE]FILES TO MOVE:
“C:\WINDOWS\system32\drivers\mnqvberu.sys” | “C:\mnqvberu.dat”[/CODE]
6. Нажмите на иконку со светофором.
7. Перезагрузитесь.
8. После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
9. Добавьте сохраненный файл в следующее сообщение, плюс пришлите нам [B][U]по правилам[/U][/B] файл [B]C:\mnqvberu.dat[/B].
Ничего не получилось! ! !
После перезагрузки вылезло сообщение, что файл avenger.txt не может быть найден и сообщение создать таковой (пустой, естественно). При попытке в AVZ закарантинить нужный файл - всё то же: ошибка прямого чтения...
Значит пойдем так: AVZ - Сервис - Модули пространства ядра -
найти этот модуль - вверху кнопочка "Копировать в карантин". Если не получится, то "Снять дамп памяти".
В карантин не добавлся, зато "Дампирование драйвера успешно завершено". Теперь?
Приложить этот дамп сюда. Эксперты посмотрят и скажут с чем мы боремся. Может это "ветряные мельницы" , а может "зверь".
Прошу прощения, а как этот дамп приложить? Точнее, где его взять? Или это означает, что указанный файл нужно закарантинить в AVZ?
В AVZ нажимаете кнопочку снятия дампа данного файла. Программа задаст вопрос. Ответ "Да" - создание файла с расширением dmp.
Его прикладываем.
Извините, что писал раньше короче.
Да ничего, ничего :) Можно и короче. Музыкальное образование иногда мешает :)). А файл отправила.
Спасители! на вас одна надежда! Неужели всё так плохо?? Или наоборот - чисто и не стоит беспокойств?
Други, простите, что надоедаю с вопросами - про меня не забыли? В любом случае спасибо! С вашей помощью практически любой может оказать первую помощь своей пострадавшей машинке:)
[QUOTE='Darria;120474']про меня не забыли?[/QUOTE]
Нет! Ваш случай непростой и нетипичный (этот mnqvberu.sys), консилиум работает, ответ будет в ближайшее время.
Спасибо!
Попробуем еще один способ, говорят - действует ;)
Скачайте и установите программу [URL="http://rkunhooker1.narod.ru/rkunhooker_v3/RkU3.30.150.400.rar"]Rootkit Unhooker[/URL].
Запустите программу, выберите в меню [B]Tools[/B] - [B]Wipe/Copy File[/B],
нажмите [B]Browse[/B], выберите файл
[I]C:\WINDOWS\system32\drivers\mnqvberu.sys[/I],
переключатель в окошке оставьте в позиции [B]Direct File Copying[/B],
нажмите [B]Do operation[/B], выберите куда сохранить файл, и сохраните.
Заархивируйте сохраненный файл в zip или rar с паролем [I]virus[/I]
и пришлите через [URL="http://virusinfo.info/upload_virus.php?tid=10618"]эту форму[/URL].
Если все получится, следующим ходом напишу удаление.
Сделала всё по-написанному, появилось сообщение, что файл скопирован, но его НЕТ в той папке, куда я его сохраняла - ни в скрытом виде, ни в каком. Зато NOD32 сообщил, что это есть Win32/Delf.NFO троян, и что он его поместил в карантин. Вторичная попытка с отключенным NOD32 также не дала никаких результатов.
А если нод деинсталировать или хотя-бы загрузиться в сейфмоде и проделать ту же операцию?
сейчас попробуем
[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
А в безопасном режиме Rootkit Unhooker не желает открываться: "Error loading/opening driver" :((((((
Попробуйте еще раз в нормальном режиме, отключив предварительно NOD32, и на всякий случай, имя папки назначения чтобы не содержало русских символов, лучше всего пусть будет просто [B]C:\[/B]
Всё то же самое. Файла просто нет в той папке, куда он должен был быть скопированным.
Ладно!
1. Сделайте тем же манером, только
переключатель в окошке поставьте в [B]Direct File Content Wiping[/B],
нажмите [B]Do operation[/B], потом перезагрузитесь.
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ckeacke.dll.bak');
DeleteFile('C:\WINDOWS\system32\ckeacke.dll');
BC_ImportDeletedList;
BC_DeleteSvc('bsgskays');
BC_DeleteFile('C:\WINDOWS\system32\drivers\mnqvberu.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
(последует перезагрузка)
3. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing)
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing)[/code]
(должно пофикситься!)
4. Перезагрузитесь и сделайте новые логи.
начинаю...
[size="1"][color="#666686"][B]Добавлено через 16 минут[/B][/color][/size]
Они пофиксились!!!!!!
Делаю логи.
Кажется, всё сделала. Надеюсь, они умерли?
:thumbsup: [B]Мы сделали это![/B] Теперь порядок, поздравляю! :druzja:
Жаль только образец заполучить не удалось,
но он уже знаком антивирусам, так что не беда.
Урр-рa! Ребята, вы - такие молодцы, такое вам огромное спасибо!!!
Всем рассказываю про сайт, про вашу оперативность и про неоценимую помощь, которую вы всем оказываете! Еще раз спасибо - и... до новых встреч? ;)
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию [/b](Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]8[/B][*]Обработано файлов: [B]52[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\gypbzlek.dll - [B]Trojan.Win32.Delf.acu[/B] (DrWEB: Trojan.Click.3446)[*] c:\\windows\\system32\\omdaccrn.dll - [B]Trojan.Win32.Delf.zj[/B] (DrWEB: Trojan.Click.3444)[*] c:\\windows\\system32\\ovaqpujj.dll - [B]Trojan.Win32.Delf.zj[/B] (DrWEB: Trojan.Click.3445)[*] c:\\windows\\system32\\rsvp32_2.dll - [B]Trojan.Win32.Pakes.ts[/B] (DrWEB: Trojan.Packed.153)[*] c:\\windows\\system32\\ylqiceqr.dll - [B]Trojan.Win32.Delf.zj[/B] (DrWEB: Trojan.Click.17083)[*] \\syskrnl3.exe - [B]Trojan-PSW.Win32.LdPinch.ddg[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]