Вниманию хелперов

Printable View

04.07.2007, 16:43
vaber

Вниманию хелперов

Просматривая тему "Помогите" наткнулся на это:
[url]http://virusinfo.info/showthread.php?t=10618&page=3[/url]
Там пользователь под ником Darria обратилась за помощью в удаление вирусов с ПК. Но все закончилось тем, что один вирус так и остался. (ckeacke.dll и mnqvberu.sys). Поскольку возможно обращение еще пользователей с данной проблемой, то решил описать как его можно удалить.
Как бы не было обидно, но с помощью AVZ его не удалить ( и всякими авенгерами тоже).
Самое главное - удалить драйвер. Это можно сделать с помощью RKU. Запускается этот антируткит, в меню "затирания/копирования" вводим путь к драйверу. Производим низкоуровневое затирание. Перезагружаемся. Библиотеку удаляем с помощью отложенного удаления AVZ (активировав AVZGuard). После перезагрузки фиксим winlogon и BHO. Все.
З.Ы. С помощью этого же RKU можно драйвер предварительно скопировать в нужный каталог.
По классификации KL драйвер определяется как Trojan.Win32.Delf.zj.
Надеюсь - эта инфа будет полезна.
04.07.2007, 17:02
Bratez

Предлагаемая процедура удаления была проделана на практике?
04.07.2007, 18:24
vaber

Да.
04.07.2007, 22:01
Зайцев Олег

информация полезна - противоядие сделать не сложно, что и будет сделано ...
06.07.2007, 22:51
SuperBrat

[B][URL="http://virusinfo.info/showthread.php?t=10847"]По теме "как безболезненно удалить вирусы ?" от skull2005.[/URL][/B]

Есть удачный опыт многократного лечения этой проблемы. "Установка и удаление программ" нормализует свою работу после установки патчей Windows2000-KB891861-x86-RUS.EXE или Windows2000-KB891861-x86-enu.EXE (известный как Service Pack 4 Update Rollup) и WindowsInstaller-KB893803-v2-x86.exe (Windows Installer 3.1 Redistributable).
06.07.2007, 23:16
Палыч

[QUOTE=SuperBrat;120895][B][URL="http://virusinfo.info/showthread.php?t=10847"]По теме "как безболезненно удалить вирусы ?" от skull2005.[/URL][/B]

Есть удачный опыт многократного лечения этой проблемы. "Установка и удаление программ" нормализует свою работу после установки патчей Windows2000-KB891861-x86-RUS.EXE или Windows2000-KB891861-x86-enu.EXE (известный как Service Pack 4 Update Rollup) и WindowsInstaller-KB893803-v2-x86.exe (Windows Installer 3.1 Redistributable).[/QUOTE]
Первый файл, прямая ссылка на скачку -- [url]http://download.microsoft.com/download/b/b/f/bbf1d83d-23a2-42ce-a33a-6f4cb8944508/Windows2000-KB891861-v2-x86-RUS.EXE[/url]
Второй файл скачался легко и просто с [url]http://www.sharing.ru/dl/38105/WindowsInstaller-KB893803-v2-x86.exe.html#[/url]

Я их оба скачал. Следовательно -- могу оба залить на любой файлообменник.
Как лучше поступить?
07.07.2007, 12:47
SuperBrat

В ответ на [url]http://virusinfo.info/showpost.php?p=120900&postcount=12[/url]
skull2005, если у вас уже стоит SP4, то переустанавливать его не надо (хотя и не повредит, но займет некоторое время).
Для вашей английской версии ставите сразу Windows2000-KB891861-x86-enu.EXE, затем WindowsInstaller-KB893803-v2-x86.exe для закрепления эффекта.
07.07.2007, 18:14
pig

И ещё сотню заплаток после того. Сколько тому роллапу? Кажется, года два уже, некоторые дыры не по одному разу патчили.
07.07.2007, 19:12
SuperBrat

[QUOTE='pig;121027']И ещё сотню заплаток после того. Сколько тому роллапу? Кажется, года два уже, некоторые дыры не по одному разу патчили.[/QUOTE]
+1. Само собой.
09.07.2007, 02:46
Jack2

[url]http://virusinfo.info/showthread.php?t=10892[/url]
Хотел чуваку написать, чтобы он обновил антивирусник и провел полное сканирование, а туда только хэлперов пускают...
09.07.2007, 09:04
drongo

[QUOTE='Jack2;121234']Хотел чуваку написать, чтобы он обновил антивирусник и провел полное сканирование, а туда только хэлперов пускают...[/QUOTE]Этот совет описан в первом пункте правил, к тому же личку никто пока не запретил.Только хелперы имеют право отвечать в разделе "Помогите" для порядка и это правильно ;)
30.08.2007, 19:47
SuperBrat

[QUOTE]Скачал DRWeb (Cure-It), прогнал Cure-It затем AVZ. В логах, что получилось. Лог Cure-It не смог сделать (не знаю как)[/QUOTE]
Лог "CureIt.log" лежит в папке "C:\Documents and Settings\[B]имя пользователя[/B]\DoctorWeb"
30.08.2007, 22:42
Shu_b

[QUOTE=SuperBrat;130437]Лог "CureIt.log" лежит в папке "C:\Documents and Settings\[B]имя пользователя[/B]\DoctorWeb"[/QUOTE]

Проще так: пуск - выполнить - %userprofile%\DoctorWeb
31.08.2007, 19:48
SuperBrat

По теме [url]http://virusinfo.info/showthread.php?t=12068[/url]
Сайт europaproperty.com действительно заразный. Вот парочка детектов:
[QUOTE]File index.php.--- received on 08.31.2007 17:37:38 (CET)
Antivirus Version Last Update Result
BitDefender 7.2 2007.08.31 Exploit.Html.Ieslice.P
DrWeb 4.33 2007.08.31 VBS.PackFor
Fortinet 3.11.0.0 2007.08.31 JS/Agent.E!tr
F-Secure 6.70.13030.0 2007.08.31 JS/Laume.gen2
Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.JS.Agent.et
McAfee 5109 2007.08.30 JS/Downloader-AUD
Microsoft 1.2803 2007.08.31 TrojanDownloader:JS/Psyme.gen
Norman 5.80.02 2007.08.31 JS/Laume.gen2
Sophos 4.21.0 2007.08.31 Mal/ObfJS-A
Symantec 10 2007.08.31 Downloader
TheHacker 6.1.9.175 2007.08.31 Trojan/Downloader.vbs
VirusBuster 4.3.26:9 2007.08.30 JS.Psyme.DD.Gen
Webwasher-Gateway 6.0.1 2007.08.31 JavaScript.CodeUnfolding.gen!High (suspicious)

Additional information
File size: 6146 bytes
MD5: 996ee978676b5dc361b26d0f555ebe22
SHA1: 22925cc2dccecf30c617d1e74320c0bd1506702e[/QUOTE]
[QUOTE]File noname_3_.htm received on 08.31.2007 17:37:49 (CET)
Antivirus Version Last Update Result
AntiVir 7.4.1.66 2007.08.31 HEUR/Exploit.HTML
BitDefender 7.2 2007.08.31 Exploit.Html.Ieslice.P
DrWeb 4.33 2007.08.31 VBS.PackFor
Fortinet 3.11.0.0 2007.08.31 JS/Agent.E!tr
F-Secure 6.70.13030.0 2007.08.31 Trojan-Downloader.JS.IESlice.c
Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.JS.Agent.et
Kaspersky 4.0.2.24 2007.08.31 Trojan-Downloader.JS.IESlice.c
McAfee 5109 2007.08.30 JS/Downloader-AUD
Microsoft 1.2803 2007.08.31 TrojanDownloader:JS/Psyme.gen
Norman 5.80.02 2007.08.31 JS/Laume.gen2
Sophos 4.21.0 2007.08.31 Mal/ObfJS-A
Symantec 10 2007.08.31 Downloader
TheHacker 6.1.9.175 2007.08.31 Trojan/Downloader.vbs
VirusBuster 4.3.26:9 2007.08.31 JS.Psyme.DD.Gen
Webwasher-Gateway 6.0.1 2007.08.31 Heuristic.Exploit.HTML

Additional information
File size: 10211 bytes
MD5: 1776b8f8e60506a319fee9c0fa8d5e26
SHA1: 60b54544f0ff378bb1374449c9d362d1ab697e92[/QUOTE]
31.08.2007, 19:54
Макcим

А почему парочка? Первый скрипт выводит [QUOTE]<center>Sorry! You IP is blocked.</center>[/QUOTE]
31.08.2007, 19:55
SuperBrat

[QUOTE=Maxim;130828]А почему парочка? Первый скрипт выводит[/QUOTE]
Opera?
31.08.2007, 21:11
Макcим

При чем здесь Opera?
31.08.2007, 21:28
SuperBrat

"Sorry! You IP is blocked." получают пользователи альтернативных браузеров. Чтобы получить те образцы пришлось маскироваться под браузер IE.
31.08.2007, 22:43
Макcим

Я получил этот скрипт через IE.
01.09.2007, 09:22
SuperBrat

ЛК отвечает:
[QUOTE]Hello,
index.php.--- - Trojan-Downloader.VBS.Small.eu
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
noname[3].htm_ - Trojan-Downloader.JS.IESlice.c
This file is already detected. Please update your antivirus bases.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.
[/QUOTE]
01.09.2007, 14:14
Макcим

[B]SuperBrat[/B], можешь мне прислать этот скрипт?
01.09.2007, 14:31
SuperBrat

Пожалуйста, [url]http://ifolder.ru/3189845[/url]
01.09.2007, 14:41
Макcим

Спасибо!