Всплівающие сообщения АВАСТ

**Ruslan Mateyko** · 20.10.2007, 11:06

Доброго времени суток всем!
У меня версия 4.7.Home Некоторое время назад у меня начало выскакивать предложение о перезагрузке системы от АВАСТ, причем настойчиво.
Чуть позже стало появляться сообщение что Виндовс не находит windows/sdrive/. И переставала работать Опера 9.24. Куритом в безопасном режиме был обнаружен и уничтожен зловред systs.exe.
Исследовал систему АВЗ и Хайджеком логи прилагаются.
Прошу помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 20.10.2007, 14:52

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\Program Files\Rapidown\rapidown.exe','');
 QuarantineFile('C:\PROGRA~1\Rapidown\rapi310.dll','');
 QuarantineFile('C:\Temp\aspi32.exe','');
 DeleteFile('C:\Temp\aspi32.exe');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

**Ruslan Mateyko** · 20.10.2007, 15:28

Профиксил, скрипт выполнил
карантин выслал:
Файл сохранён как 071020_062734_virus_4719e62654b33.zip
Размер файла 1075025
MD5 a4137c3e4f200ee53f41a350c4b1cc98

**Bratez** · 20.10.2007, 15:37

Rapidown - это утилита для скачивания с Рапиды? Тогда с нее подозрения снимаются. Сделайте новые логи для контроля.

Добавлено через 2 минуты

ConnectionServices -
программа-реклама not-a-virus:AdWare.Win32.BHO.gs

**Ruslan Mateyko** · 20.10.2007, 16:12

Утилитка для скачки с Рапиды точно,
Выкладываю логи

**Bratez** · 20.10.2007, 16:30

Вроде бы ничего плохого в логах не видно, но вот это озадачивает:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Советую скачать заново CureIt, AVZ и HijackThis на другом компьютере, AVZ сразу распаковать и обновить базы, записать все это на CD. Проверить свой комп CureIt'ом прямо с CD в безопасном режиме (полную проверку), потом сделать еще раз логи по правилам.

**Ruslan Mateyko** · 20.10.2007, 19:42

Куритом всё проверил, он мне лечил все приложения какие были, удалил
еще одного зловреда, но при открытии Оперы опять выскочило окно АВАСТ с предложением перезагрузки системы, логи АВЗ и Хайджека прикрепляю

**V_Bond** · 20.10.2007, 20:17

C:\Program Files\ConnectionServices\ConnectionServices.dll not-a-virus:Adware.Win32.BHO.qs
C:\Program Files\Rapidown\rapidown.exe - подождем ответ из вирлаб
C:\PROGRA~1\Rapidown\rapi310.dll -чистый
C:\Temp\aspi32.exe -чистый
выполните скрипт

Код:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

Код:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Сообщение от Bratez

Вроде бы ничего плохого в логах не видно, но вот это озадачивает:

Советую скачать заново CureIt, AVZ и HijackThis на другом компьютере, AVZ сразу распаковать и обновить базы, записать все это на CD. Проверить свой комп CureIt'ом прямо с CD в безопасном режиме (полную проверку), потом сделать еще раз логи по правилам.

я так понимаю єто не выполнялось... ?

**Ruslan Mateyko** · 20.10.2007, 20:21

Да нет, как раз таки и выполнялось и файлы брал с вирусинфо

**V_Bond** · 20.10.2007, 20:30

ждем новый карантин

**Ruslan Mateyko** · 20.10.2007, 20:49

Карантин выслал:
Файл сохранён как 071020_114847_virus_471a316fac976.zip
Размер файла 13252
MD5 47353adb169ee717d24794f77c3f2153

**V_Bond** · 20.10.2007, 21:07

C:\WINDOWS\system32\userinit.exe - посмотрим что скажет вирлаб ... (по вирустотал он подозрительный)

avz.exe - запакуйте с паролем и пришлите по правилам ...

**Ruslan Mateyko** · 20.10.2007, 21:15

Отправил, Получайте.
Файл сохранён как 071020_121325_avz_471a3735b0541.zip
Размер файла 697234
MD5 78a66391cb4cac1a70e73d3494d655b6

Пароль на архив естественно: - virus
Да, Курит лечил Практически все проги от Win32.Virut.10 и если верить емувсмысле Куриту всё вылечил

**V_Bond** · 20.10.2007, 21:26

avz.exe заражен Virus.Win32.Virut.t - касперский лечит это .... Сureit тоже ...
сделай те полную проверку с диска Сureit в Safe mode . ... затем в обычном режиме...

**Ruslan Mateyko** · 21.10.2007, 13:41

Курит во время полного сканирования в безопасном режиме обнаружил и удалил следующих зловредов:
Trojan.Packed.155 -1
Win32.HLLW.MyBot-1
Trojan.Virtumod.122-2
Излечил более 1200 файлов от Win32.Virut10 я так понял инфицированых АВЗ?
Повторное сканирование показало что вирусов необнаружено.
Третье сканирование в нормальном режиме показало что вирусов нет
АВАСТ при сканировании во время загрузки выдал следующее:

10/21/2007 11:03
Skanirovat' C:\
Faiyl C:\Games\Combat Over Europe\UNWISE.EXE inficirovan virusom Win32:Virut, Lechit': Oshibka 42060 {Fail ne bil vosstanovlen.}
Faiyl C:\Games\QUAKE III\baseq3\pak0.pk3\video\tier3.RoQ Oshibka 42125 {Arhiv ZIP razrushen.}
Faiyl C:\Program Files\Lexmark Skins\Skin1\UNWISE.EXE inficirovan virusom Win32:Virut, Lechit': Oshibka 42060 {Fail ne bil vosstanovlen.}
Faiyl C:\WINDOWS\Resources\Themes\UXTheme Multi-Patcher 4.0.exe\%WIN%\System32\dllcache\uxtheme.dll Oshibka 42146 {Ustanovochnyj arhiv isporchen.}
Faiyl C:\WINDOWS\Resources\Themes\UXTheme Multi-Patcher 4.0.exe\%WIN%\System32\dllcache\uxtheme.dll Oshibka 42146 {Ustanovochnyj arhiv isporchen.}
Faiyl C:\WINDOWS\Resources\Themes\UXTheme Multi-Patcher 4.0.exe\%WIN%\System32\dllcache\uxtheme.dll Oshibka 42146 {Ustanovochnyj arhiv isporchen.}
Faiyl C:\WINDOWS\Resources\Themes\UXTheme Multi-Patcher 4.0.exe\%WIN%\System32\dllcache\uxtheme.dll Oshibka 42146 {Ustanovochnyj arhiv isporchen.}

Kolichestvo naiydenyh papok: 10382
Kolichestvo proverenyh faiylov: 366884
Kolichestvo inficirovannyh faiylov: 2

Что делать?

**Bratez** · 21.10.2007, 13:56

Эти два удалите обязательно:
C:\Games\Combat Over Europe\UNWISE.EXE
C:\Program Files\Lexmark Skins\Skin1\UNWISE.EXE
На работе установленных программ это не отразится.

Остальные упомянутые просто испорчены, тоже можно удалить.

Сделайте свежий комплект логов по правилам.

**Ruslan Mateyko** · 21.10.2007, 14:03

Сообщение от Bratez

Сделайте свежий комплект логов по правилам.

Чем? инфицированым АВЗ который брал по Вашим ссылкам?

**Bratez** · 21.10.2007, 14:14

Зачем инфицированным, скачайте заново.

Добавлено через 1 минуту

Он же у вас инфицировался. Или вы думаете, что таким его скачали?

**Ruslan Mateyko** · 21.10.2007, 15:05

Свежие Логи

**V_Bond** · 21.10.2007, 15:52

похоже, больше ничего зловредного не осталось ...
какие-то проблемы остались ?

Всплівающие сообщения АВАСТ (заявка № 13380)

Опции темы

Всплівающие сообщения АВАСТ

Похожие темы

Аваст выдаёт URL:Mal сообщения при открывании веб-страниц.

аваст ругается

аваст и netprotocol.exe

Постоянно аваст выводит сообщения о рутките и каком то мальве вирусе

Ваши права в разделе