При повторном сканировании больше вирусов обнаружено не было.
Сегодня при подключении к интернету вирус тем не менее ожил:
C:\WINDOWS\TEMP\BN1E.tmp Spy-Agent.bv
Троян
И сейчас уже нашёл два вирусевича, но сомневаюсь, что этим дело кончится. Порносайты и хакерские сайты и всё такого типа — не посещаю.
Ну не совсем же плохой этот Макафи?
Последний раз редактировалось Shu_b; 14.02.2008 в 16:00.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сейчас Макафи закончит работу, может я и его лог найду.
Хотя зачем он? В оперативке Макафи вируса не находит. Тело этого вируса приатачено к первому посту.
В усерской временной директории нашёл SVC32_2.EXE SpyAgent.bv.gen
И в интернет хрнилище CONTENT.IE5\KT4V8NVZ\1[2].EXE SpyAgent.bv.gen
Макафи поставил их на карантин.
Пытаюсь удалить все файлы из временной усерской директории. Не удаляется файл с нулевым размером
sqlite_fIy3COew4DDOPkE
В виндусовой временной директории также не удалятся похожие файлы с нулевым размером
mcmsc_IcqZiiFHf3sZljJ и такой
sqlite_kWDCetKDy9tXo5P
Из временной усерской директории удалил два экзешника. Теперь не удаётся освободить корзину. Сейчас еще попробую, боюсь пока отключать Макафи. И затем буду действовать по описанной процедуре
Напоминает топик одного актера....дайте логи и мы присоеденимся к обсуждению\лечению если нет, то зачем вы сюда пишете?
Интиресно. Тело вируса я прислал. Если кто-то может это анализировать — значит что-то скажет.
CureIt — я и сам пользоваться умею.
И пишу совсем не для развлечения. Пока вирус активный — стоит мне отключить МакАфии — и там уже нечего будет лечить (это вполне реально, не так ли?) всё будет загажено и испорчено
Если бы оно делало логи при включенном Макафи — я бы их сразу и сделал.
А сейчас просканирую компьютер последний раз. Отключу интернет. Еще раз удалю всё содержимое всех временных (TEMP) директорий, весь Temporary Internet Files, всё содержимое всех System Volume Information (защита уже отключена на всех дисках). Всё удалю с помощью макафьевского шрёдера (то есть, чтобы и места такого где были эти файлы не осталось)
И затем буду подключать ваши сканеры. Ничего не найдут — и слава богу! Я просто сообщил название вирусов, дал их предполагаемое тело (или что там). И теперь сделаю всё как нужно для наилучшего лечения, обязательно строго выполнив все ваши рекомендации
Это к разработчикам McAfee.
Его лог не нужен.
То, что McAfee уже детектирует и успешно удаляет анализировать бесполезно.
От интернета на это время надо отключиться и тогда хуже не будет.
благодарю за разъяснения. Сюда прикрепил лог, как положено.
И еще Доктор Веб у меня что-то нашёл, я сначала поленился его грузить... Чего Макафи-то ни черта не ищет?
Кто-то мне вылечил McAfee совсем, не находит он своих компонентов. Придётся переустановить
Форум Файлы загружать больше не хочет. И прав у меня таких вроде нет пишет.
Но почему постоянно исчезает русская кодировка — непонятно. Раз уж оно здесь по русски?
Но ответа жду
Последний раз редактировалось McAfee; 14.02.2008 в 20:06.
Скрипт выполнил. И опять он мне что-то там нашёл. Я бы снёс виндус на фиг, но каждый раз сносить его не будешь...
Тем не менее в карантине — пусто. Папку Infected мне почистил Доктор Веб. Папка Quarantine вроде оборзовалась только после запуска последнего скрипта... Но в ней, кроме сегодняшнего числа ни черта нету...
Дальше собирался пофиксить LogCrypt, но HijackThis.exe его не нашёл.
Есть довольно странная служба:
##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# #
"C:\Program Files\Bonjour\mDNSResponder.exe"
Вроде эта прелесть грузилась вместе с Фотошопом. Но странно, что фотошоп запускает какой-то ответчик DNS. Может это и есть вирус?
Загружать логи оно мне опять не даёт. Пишет: McAfee, you do not have permission to access this page. This could be due to one of several reasons:
Your user account may not have sufficient privileges to access this page. Are you trying to edit someone else's post, access administrative features or some other privileged system?
If you are trying to post, the administrator may have disabled your account, or it may be awaiting activation.
Остановил эту службу недоделанную. И переместил файлы в другое место. Может это новый вид шпиона?
Буду ждать ответа позднее тогда...
Логи грузить не даёт, пишет, что я их уже загрузил: You have already attached this file in thread
Затем я долго искал как мне их загрузить, и сумел только в архиве с паролем: McAfee (это пароль)
А логи я могу грузить на дружественный сайт с FTP доступом или прямо из инета. Мне проще FTP сляпать на скорую руку, чем изучать доступы и регистрации... Могу и передать этот доступ по внутренней форумной почте или как?
Последний раз редактировалось McAfee; 15.02.2008 в 14:07.
Образовалась новая корзина для удалённых файлов на диске С
C:\RECYCLER.SH!
Выглядит как обычная корзинка. В ней файлы логов, которые я выбросил (уже грузил их)
Ни одного из указанных вами файлов в системе вроде нет (я их не вижу). Хотя у меня всегда и системные и спрятанные файлы доступны для просмотра. Но я понимаю, что я недостаточно квалифицирован, чтобы всё видеть.
И потому сейчас сделаю написанный скрипт, отключив все службы МакАфи...
Есть только svchost.exe
Есть ещё файл mem.exe, который не пишет ничего при наведении на него мышки (обычно пишется типа Мокросох Корпорейшн). Может стереть ему всю внутренность фаром?
Делаю скрипт и шлю. Можно со мной связаться по аське, если время найдется
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: