Нет!! Борьба будет продолжена до победного конца.
Первый скрипт из сообщения #37 выполнить в защищенном режиме.Если в карантин ничего не попадет, то там же поискать этот злосчастный C:\WINDOWS\system32\drivers\mnqvberu.sys
Он очень нужен. Есть мнение, что это новая модификация.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
будем искать...
Всё по-прежнему: ошибка прямого чтения, в карантин не попадает.
Следствие зашло в тупик?
Запросил "помощь у зала" (Олега Зайцева)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Darria,
1. Cкачайте The Avenger
2. Распакуйте программу к примеру в каталог C:\Avn
3. Запустите Avenger.exe и выберите "Input script manually"
4. Нажмите на иконку с увеличительным стеклом.
5. Введите в открывшееся окно текст из рамки ниже, (для этого пометьте текст в рамке выберите "копировать" и "вставить" его в окно программы) -
6. Нажмите на иконку со светофором.Код:FILES TO MOVE: “C:\WINDOWS\system32\drivers\mnqvberu.sys” | “C:\mnqvberu.dat”
7. Перезагрузитесь.
8. После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
9. Добавьте сохраненный файл в следующее сообщение, плюс пришлите нам по правилам файл C:\mnqvberu.dat.
Последний раз редактировалось Muffler; 27.06.2007 в 21:03.
Ничего не получилось! ! !
После перезагрузки вылезло сообщение, что файл avenger.txt не может быть найден и сообщение создать таковой (пустой, естественно). При попытке в AVZ закарантинить нужный файл - всё то же: ошибка прямого чтения...
Значит пойдем так: AVZ - Сервис - Модули пространства ядра -
найти этот модуль - вверху кнопочка "Копировать в карантин". Если не получится, то "Снять дамп памяти".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В карантин не добавлся, зато "Дампирование драйвера успешно завершено". Теперь?
Приложить этот дамп сюда. Эксперты посмотрят и скажут с чем мы боремся. Может это "ветряные мельницы" , а может "зверь".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Прошу прощения, а как этот дамп приложить? Точнее, где его взять? Или это означает, что указанный файл нужно закарантинить в AVZ?
В AVZ нажимаете кнопочку снятия дампа данного файла. Программа задаст вопрос. Ответ "Да" - создание файла с расширением dmp.
Его прикладываем.
Извините, что писал раньше короче.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да ничего, ничегоМожно и короче. Музыкальное образование иногда мешает
Последний раз редактировалось Darria; 28.06.2007 в 13:18.
Спасители! на вас одна надежда! Неужели всё так плохо?? Или наоборот - чисто и не стоит беспокойств?
Други, простите, что надоедаю с вопросами - про меня не забыли? В любом случае спасибо! С вашей помощью практически любой может оказать первую помощь своей пострадавшей машинке
Нет! Ваш случай непростой и нетипичный (этот mnqvberu.sys), консилиум работает, ответ будет в ближайшее время.Сообщение от Darria
I am not young enough to know everything...
Спасибо!
Попробуем еще один способ, говорят - действует
Скачайте и установите программу Rootkit Unhooker.
Запустите программу, выберите в меню Tools - Wipe/Copy File,
нажмите Browse, выберите файл
C:\WINDOWS\system32\drivers\mnqvberu.sys,
переключатель в окошке оставьте в позиции Direct File Copying,
нажмите Do operation, выберите куда сохранить файл, и сохраните.
Заархивируйте сохраненный файл в zip или rar с паролем virus
и пришлите через эту форму.
Если все получится, следующим ходом напишу удаление.
Последний раз редактировалось Bratez; 05.07.2007 в 17:35.
I am not young enough to know everything...
Сделала всё по-написанному, появилось сообщение, что файл скопирован, но его НЕТ в той папке, куда я его сохраняла - ни в скрытом виде, ни в каком. Зато NOD32 сообщил, что это есть Win32/Delf.NFO троян, и что он его поместил в карантин. Вторичная попытка с отключенным NOD32 также не дала никаких результатов.
А если нод деинсталировать или хотя-бы загрузиться в сейфмоде и проделать ту же операцию?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Уважаемый(ая) Darria, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
