Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

Научите McAfee лечить вирусы (заявка № 18051)

  1. #1
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    Exclamation Научите McAfee лечить вирусы

    У меня есть даже вирус, который меня заразил в натуральном виде...

    Поскольку заразился с доступного мне по ФТП сайта.

    У меня полноценная версия Макафи, недавно установленная после переустановки виндуса. То есть Макафи пасёт эту установку с нуля

    Вчера тем не менее подцепил заразу. Вирус макафи продетектировал при обращении странице. Тело вируса приатачено

    Вчера Макафи вычистил во что:
    w/s32/C++.exe Generic.yy
    w/s32/drivers/ip6fw.sys Generic.RootKit.a
    w/s32/drivers/protect.sys Generic.dx

    При повторном сканировании больше вирусов обнаружено не было.

    Сегодня при подключении к интернету вирус тем не менее ожил:
    C:\WINDOWS\TEMP\BN1E.tmp Spy-Agent.bv
    Троян

    И сейчас уже нашёл два вирусевича, но сомневаюсь, что этим дело кончится. Порносайты и хакерские сайты и всё такого типа — не посещаю.

    Ну не совсем же плохой этот Макафи?
    Последний раз редактировалось Shu_b; 14.02.2008 в 16:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    843
    Файл нужно высылать через ссылку вверху темы!

    По поводу лечения: Не плохо бы ознакомится с правилами, анализ ПК находящегося за несколько сот километров без логов невозможен.

  4. #3
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    процедуры прочитал

    Сейчас Макафи закончит работу, может я и его лог найду.

    Хотя зачем он? В оперативке Макафи вируса не находит. Тело этого вируса приатачено к первому посту.

    В усерской временной директории нашёл SVC32_2.EXE SpyAgent.bv.gen
    И в интернет хрнилище CONTENT.IE5\KT4V8NVZ\1[2].EXE SpyAgent.bv.gen
    Макафи поставил их на карантин.

    Пытаюсь удалить все файлы из временной усерской директории. Не удаляется файл с нулевым размером
    sqlite_fIy3COew4DDOPkE

    В виндусовой временной директории также не удалятся похожие файлы с нулевым размером
    mcmsc_IcqZiiFHf3sZljJ и такой
    sqlite_kWDCetKDy9tXo5P

    Из временной усерской директории удалил два экзешника. Теперь не удаётся освободить корзину. Сейчас еще попробую, боюсь пока отключать Макафи. И затем буду действовать по описанной процедуре

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    Напоминает топик одного актера....дайте логи и мы присоеденимся к обсуждению\лечению если нет, то зачем вы сюда пишете?
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    CureIt

    Цитата Сообщение от akoK Посмотреть сообщение
    Напоминает топик одного актера....дайте логи и мы присоеденимся к обсуждению\лечению если нет, то зачем вы сюда пишете?
    Интиресно. Тело вируса я прислал. Если кто-то может это анализировать — значит что-то скажет.

    CureIt — я и сам пользоваться умею.

    И пишу совсем не для развлечения. Пока вирус активный — стоит мне отключить МакАфии — и там уже нечего будет лечить (это вполне реально, не так ли?) всё будет загажено и испорчено

    Если бы оно делало логи при включенном Макафи — я бы их сразу и сделал.

    А сейчас просканирую компьютер последний раз. Отключу интернет. Еще раз удалю всё содержимое всех временных (TEMP) директорий, весь Temporary Internet Files, всё содержимое всех System Volume Information (защита уже отключена на всех дисках). Всё удалю с помощью макафьевского шрёдера (то есть, чтобы и места такого где были эти файлы не осталось)

    И затем буду подключать ваши сканеры. Ничего не найдут — и слава богу! Я просто сообщил название вирусов, дал их предполагаемое тело (или что там). И теперь сделаю всё как нужно для наилучшего лечения, обязательно строго выполнив все ваши рекомендации

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,627
    Вес репутации
    1294
    Научите McAfee лечить вирусы
    Это к разработчикам McAfee.
    Сейчас Макафи закончит работу, может я и его лог найду.
    Его лог не нужен.
    Тело вируса я прислал. Если кто-то может это анализировать — значит что-то скажет.
    То, что McAfee уже детектирует и успешно удаляет анализировать бесполезно.
    Пока вирус активный — стоит мне отключить МакАфии — и там уже нечего будет лечить (это вполне реально, не так ли?) всё будет загажено и испорчено
    От интернета на это время надо отключиться и тогда хуже не будет.

  8. #7
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    благодарю за разъяснения

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Это к разработчикам McAfee.
    Его лог не нужен.
    То, что McAfee уже детектирует и успешно удаляет анализировать бесполезно.
    От интернета на это время надо отключиться и тогда хуже не будет.
    благодарю за разъяснения. Сюда прикрепил лог, как положено.

    И еще Доктор Веб у меня что-то нашёл, я сначала поленился его грузить... Чего Макафи-то ни черта не ищет?

    Кто-то мне вылечил McAfee совсем, не находит он своих компонентов. Придётся переустановить

    Форум Файлы загружать больше не хочет. И прав у меня таких вроде нет пишет.

    Но почему постоянно исчезает русская кодировка — непонятно. Раз уж оно здесь по русски?

    Но ответа жду
    Последний раз редактировалось McAfee; 14.02.2008 в 20:06.

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    Сюда прикрепил лог, как положено.
    Сюда это куда?
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    лог загрузился

    Цитата Сообщение от akoK Посмотреть сообщение
    Сюда это куда?
    Форум у меня перестал действовать, то есть перестал загружать файлы, хотя загружено было очень мало байт...

    Мак Афи у меня вылетел после сканирования полностью.

    Но всего 50 мегабайт, так что перезагрузить удалось за минуту...

    Долго работал Доктор Веб, хотя дополнительно ничего не нашёл (к тому, что нашёл при предварительном сканировании)

    Кажется теперь лог загрузился
    Вложения Вложения

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    А логи AVZ?

    Добавлено через 14 минут

    svchost.exe:ext.exe - знакомо?
    Последний раз редактировалось akoK; 14.02.2008 в 23:45. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    не жалко повторить

    Цитата Сообщение от akoK Посмотреть сообщение
    А логи AVZ?
    svchost.exe:ext.exe - знакомо?
    Я их честно вгрузил всё по верхней ссылке (над темой которая), но мне не жалко повторить, хотел сделать всё предельно правильно..



    Теперь наверно, то что нужно? Последние логи прикреплены чуть выше

    svchost.exe:ext.exe - помню что там был удалён вирус, более не знаю ап чём речь
    Вложения Вложения
    Последний раз редактировалось HATTIFNATTOR; 15.02.2008 в 00:58. Причина: svchost.exe:ext.exe

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    virusinfo_cure - это карантин и его надо грузить по ссылке...отсюда удалите

    Добавлено через 6 минут

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('protect', 4);
     StopService('protect');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Mep02.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     DeleteFile('C:\78.tmp');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteService('protect');
     DeleteService('FCI');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18051

    Добавлено через 1 минуту

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     	O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll
    Повторите логи
    Последний раз редактировалось akoK; 15.02.2008 в 00:32. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    LogCrypt

    Цитата Сообщение от akoK Посмотреть сообщение
    ...
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    ... ... ...
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18051

    Добавлено через 1 минуту

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
         O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll
    Повторите логи
    Скрипт выполнил. И опять он мне что-то там нашёл. Я бы снёс виндус на фиг, но каждый раз сносить его не будешь...

    Тем не менее в карантине — пусто. Папку Infected мне почистил Доктор Веб. Папка Quarantine вроде оборзовалась только после запуска последнего скрипта... Но в ней, кроме сегодняшнего числа ни черта нету...

    Дальше собирался пофиксить LogCrypt, но HijackThis.exe его не нашёл.

    Есть довольно странная служба:
    ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# #
    "C:\Program Files\Bonjour\mDNSResponder.exe"

    Вроде эта прелесть грузилась вместе с Фотошопом. Но странно, что фотошоп запускает какой-то ответчик DNS. Может это и есть вирус?

    Загружать логи оно мне опять не даёт. Пишет:
    McAfee, you do not have permission to access this page. This could be due to one of several reasons:
    1. Your user account may not have sufficient privileges to access this page. Are you trying to edit someone else's post, access administrative features or some other privileged system?
    2. If you are trying to post, the administrator may have disabled your account, or it may be awaiting activation.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,627
    Вес репутации
    1294
    Загружать логи оно мне опять не даёт.
    Загрузите их на сайт а тут ссылку приведите.
    Последний раз редактировалось AndreyKa; 30.09.2009 в 23:57.

  16. #15
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    Id_String1.6844F930_1628_4223_B5CC_5BB94B879762

    ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# #
    "C:\Program Files\Bonjour\mDNSResponder.exe"

    Остановил эту службу недоделанную. И переместил файлы в другое место. Может это новый вид шпиона?

    Буду ждать ответа позднее тогда...

    Логи грузить не даёт, пишет, что я их уже загрузил: You have already attached this file in thread

    Затем я долго искал как мне их загрузить, и сумел только в архиве с паролем: McAfee (это пароль)

    А логи я могу грузить на дружественный сайт с FTP доступом или прямо из инета. Мне проще FTP сляпать на скорую руку, чем изучать доступы и регистрации... Могу и передать этот доступ по внутренней форумной почте или как?
    Вложения Вложения
    • Тип файла: rar Logi.rar (54.0 Кб, 3 просмотров)
    Последний раз редактировалось McAfee; 15.02.2008 в 14:07.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    Выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Mep02.sys','');
     QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Mep02.sys');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     DeleteFile('C:\78.tmp');
     BC_ImportAll;
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Mep02.sys');
     BC_DeleteSvc('Mep02');
     BC_DeleteSvc('FCI');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Карантин загрузите - http://virusinfo.info/upload_virus.php?tid=18051
    Повторите логи с п.10 Правил

  18. #17
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    C:\RECYCLER.SH!

    Образовалась новая корзина для удалённых файлов на диске С
    C:\RECYCLER.SH!
    Выглядит как обычная корзинка. В ней файлы логов, которые я выбросил (уже грузил их)

    Ни одного из указанных вами файлов в системе вроде нет (я их не вижу). Хотя у меня всегда и системные и спрятанные файлы доступны для просмотра. Но я понимаю, что я недостаточно квалифицирован, чтобы всё видеть.

    И потому сейчас сделаю написанный скрипт, отключив все службы МакАфи...

    Есть только svchost.exe
    Есть ещё файл mem.exe, который не пишет ничего при наведении на него мышки (обычно пишется типа Мокросох Корпорейшн). Может стереть ему всю внутренность фаром?

    Делаю скрипт и шлю. Можно со мной связаться по аське, если время найдется

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    svchost.exe:ext.exe:$DATA
    - это поток в NTFS
    Microsoft Most Valuable Professional in Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    14.02.2008
    Адрес
    Moscow
    Сообщений
    15
    Вес репутации
    39

    Логи

    Сечас если загрузятся логи загрузятся без переименования — то загружу их без переименования.

    Иначе архивирую с паролем прямо в зипах раром.

    Всё грузится отлично, спасибо (могу пихать их на сайт со ссылкой, если нужно). В Infected и в Quarantine ничего кроме пустой директории не наблюдается
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    C:\Program Files\Bonjour\mDNSResponder.exe
    Пришлите сюда - http://virusinfo.info/upload_virus.php?tid=18051

  • Уважаемый(ая) McAfee, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Artemis в McAfee
      От MaxQ в разделе Антивирусы
      Ответов: 6
      Последнее сообщение: 07.02.2010, 02:00
    2. Что за McAfee-GW?
      От Vneo в разделе Антивирусы
      Ответов: 2
      Последнее сообщение: 14.12.2009, 11:13
    3. McAfee
      От Geser в разделе Антивирусы
      Ответов: 8
      Последнее сообщение: 20.02.2007, 19:23
    4. McAfee SiteAdvisor 1.5.0.7
      От SDA в разделе Антивирусы
      Ответов: 1
      Последнее сообщение: 27.06.2006, 20:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00080 seconds with 17 queries