Проблема такая. Зашла тут на один нехороший сайт, и пока там была, заметила, как запустилась парочка досовских программ. При этом дизэйблился монитор McAfee, и нажатие "enable on-access scan" его не запускало.
Проверила файлы Windows по дате последних изменений и нашла следующее:
Все изменены 08.05. Я, естественно, в этот момент ничего не устанавливала.
uzcx прописался в автозагрузке и висел в процессах. Кроме того, заметила, что консоль McAfee довольно долго болталась в процессах уже после того, как я из нее вышла.
Я остановила uzcx и убрала его из автозагрузки. После перезагрузки монитор McAfee, вроде бы, активизировался, но теперь у него, наоборот, не работает "disable on-access scan".
Проверила McAfee подозрительные файлы, он распознал только torm.dll (Trojan PWS-Banker.gen.bt).
Когда запустила McAfee на полную проверку, он через какое-то время вылетел с сообщением об ошибке.
CureIt нашел еще windows\system32\dsufp.exe (подозрение на DLOADER.Trojan), еще кое-что в windows\temp, temporary internet files и в restore и указал на uzcx как на DLOADER.Trojan.
На winraser.exe, winwr.exe, winxb.exe и helper.xml ни один антивирус вообще не отреагировал...
Я всё это переместила/удалила. Но McAfee до сих пор вылетает при попытке осуществить полную проверку системы, а его монитор так и не дизэйблится. То ли это просто McAfee так заглючило после тех вирусов, то ли еще что-то осталось в системе... Посмотрите, пожалуйста.
(Только AVZ у меня почему-то всё время определяет vse800.msi как mailbomb. А это не "бомба", а как раз дистрибутив McAfee...)
Может, какие-нибудь файлики прислать?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Только AVZ у меня почему-то всё время определяет vse800.msi как mailbomb. А это не "бомба", а как раз дистрибутив McAfee...
то, что разные защитные программы друг друга, как зловреда опредвляют-зто нормально.
Пофиксите
O2 - BHO: Helper Class - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - C:\WINDOWS\system32\torm.dll (file missing)
O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsufp.exe (file missing)
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\dsufp.exe','');
QuarantineFile('\??\torm.dll','');
RebootWindows(true);
end.
ПК перезагрузится.
После этого закачайте карантин только в случае, если в него чего-нибудь попадёт.
Если карантин пуст - сделайте и закачайте новые логи.
Спасибо! Всё сделала, в карантине ничего не оказалось.
Правда, пока выполнялся скрипт, в поле протокола появлялось какое-то сообщение об ошибке (красненькое) - что-то о карантине. Я не успела рассмотреть, очень уж быстро всё промелькнуло. Но это, наверное, просто потому, что AVZ не нашел тех файлов?
Если что-нибудь попадет в карантин, пришлите файлы карантина по правилам раздела "Помогите". Прикрепите к своему следующему сообщению файл boot_clr.log из папки AVZ.
Попробуйте поискать файл dsufp.exe и torm.dll как написано в правилах. Если найдете - пришлите по тем же правилам
[HIDE]Скорее всего - нет их более
O2 - BHO: Helper Class - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - C:\WINDOWS\system32\torm.dll (file missing)
O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsufp.exe (file missing)
Не факт, Хайджек довольно часто так говорит..
Просто могло незакарантиниться "Нет смысла выполнять BC_ImportQuarantineList; когда не указаны полные пути к файлам. Бут драйвер не знает стандартных путей и ничего не найдёт. В таком случае есть смысл прописать несколько предпологаемых полных путей." -http://virusinfo.info/showthread.php?p=108656#post108656 (Alex_Goodwin)[/HIDE]
Последний раз редактировалось Alex_Goodwin; 09.05.2007 в 21:38.
Нет, похоже, всё-таки они в виндовских папках не "респаунятся" - ни в явном виде, ни в скрытом. AVZ, правда, опять пишет об ошибке: "Ошибка карантина файла ... , попытка прямого чтения. Карантин с использованием прямого чтения - ошибка". Но я посмотрела из другой системы, оттуда этих файлов тоже не было видно. По идее, если даже здесь они замаскированы, из другой-то системы их всё равно должно быть видно, ведь так?
Они у меня тут вообще-то хранились переименованные в отдельной папочке, но я их случайно убила . Поставила триальный NOD32 вместо McAfee, и сунулась туда, забыв отключить удаление без запроса. NOD их опознал, и файлики тю-тю. Даже попробовала систему откатить на момент до установки NOD-а - без толку. Зверюги не восстановились...
P.S. Прошу прощения, наконец-то дочитала правила до конца - lol. Да, всё-таки были там dsufp и torm в карантине - но с нулевым размером. На всякий случай закачиваю.
Последний раз редактировалось Tais; 10.05.2007 в 08:32.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: