Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

"Win32:Warezov-BDL [Wrm]" (заявка № 50754)

  1. #1
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54

    Thumbs up "Win32:Warezov-BDL [Wrm]"

    Здравствуйте! Помогите пожалуйста
    Avast периодически ругается на "Win32:Warezov-BDL [Wrm]" перехватывает отправляемые якобы мной письма с исполняемыми вложениями, адресаты похоже из адресной книги оутлука.
    Сообщение Avast:
    Подозрительные расширения вложения
    * foxitreader_setup.exe
    Отправитель: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGAINCi0LXRgNC10L3RgtGM0L XQsg==?= <web@***.ru>
    Получатель: =?utf-8?B?0JTQuNC90LDRgNCwINCgLiDQodGD0L3QsNGA0YfQuNC90L A=?= <dinara@***.ru>
    Тема: Emailing: foxitreader_setup.exe

    Avast при сканировании системы ничего не находит, CureIt тоже.

    результаты работы скриптов приложу в следующем сообщении

    а вот и логи
    файл хост оказался изменён, исправил, дав права на запись только SYSTEM
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 27.07.2009 в 10:07.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

  4. #3
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    вот
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
     QuarantineFile('MPK.exe','');
    end.
    Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2, 3 правил).

  6. #5
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    Ошибка карантина файла, попытка прямого чтения (MPK.exe)
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    АВЗ/Сервис/Поиск файлов... Ищите файл
    Код:
    C:\Program Files\MPK\MPK.exe
    на диске, добавьте его в карантин, карантин пришлите по правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    Результат загрузки
    Файл сохранён как 090727_125603_virus_4a6d6ba374506.zip
    Размер файла 1025151
    MD5 2d027bae07fb0d64938a996a0338b9fe
    Файл закачан, спасибо!

  9. #8
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    опять
    Изображения Изображения
    • Тип файла: jpg virus.jpg (78.1 Кб, 12 просмотров)

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от tr0y Посмотреть сообщение
    опять
    Это входящая или исходящая почта?

  11. #10
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    якобы от меня
    т.е. исходящее письмо

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Сделайте лог gmer , в Чаво есть инструкция.

  13. #12
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    вот ещё вылезло
    отправитель опять я
    Изображения Изображения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от tr0y Посмотреть сообщение
    отправитель опять я
    Нет, не Вы. Там же написано Входящая почта.

  15. #14
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Нет, не Вы. Там же написано Входящая почта.
    да, и мое имя и мой адрес в поле от

  16. #15
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    gmer
    Вложения Вложения
    • Тип файла: log gmer.log (43.6 Кб, 2 просмотров)

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от tr0y Посмотреть сообщение
    да, и мое имя и мой адрес в поле от
    Почтовый антивирус проверяет входящие сообщения на порте 110, исходящие - на порте 25, посему сомневаться в правильности определения им, входящее это сообщение или исходящее тут не приходится.
    То, что там стоит Ваш адрес, как адрес отправителя, говорите о том, что у кого-то из Ваших респондентов, имеющих Ваш адрес, есть проблемка с вирусами, которые рассылают спам и прочие нехороше приложения ОТ ИМЕНИ тех людей, которые записаны в адресную книгу.
    Если Ваш адрес имеется где-то в фидо, группах новостей и т.д., то доступ к нему запросто получает любой нехороший человек.

    В логе Гмер ничего враждебного.

  18. #17
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    хорошо если так, но как объяснить следующее:
    1. что поле от и кому два моих разных ящика?
    2. в поле от указан ящик существовавшего ранее домена, в данный момент такого сервера не существует, просто некому обработать почту?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от tr0y Посмотреть сообщение
    поле от и кому два моих разных ящика?
    Успокоит Вас тот факт, что я тоже почту от самого себя получаю?
    Цитата Сообщение от tr0y Посмотреть сообщение
    в поле от указан ящик существовавшего ранее домена, в данный момент такого сервера не существует
    Адрес отправителя в таких случях просто сфальсифицирован. Какая у Вaс почтовая программа? Разрешите 1 сообщению пройти, удалите аттач!!!, смените Вид так, чтобы были видны заголовки (headers) и посмотрите трейсинг.

  20. #19
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    да, я тоже подумал пропустить одно письмецо, оно про себя и расскажет.
    жду письма

  21. #20
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    12
    Вес репутации
    54
    вообщем вылезло сообщение, нажал пропустить в почтовый клиент ничего не упало.

    предысторией к написанию первого поста было явное вирусное заражение
    проявлялось в невозможности запуска таск менеджера и любых исполняемых файлов кроме тех что были уже открыты. предшествовало этому появление таких же окон как и на приведённых выше скриншотах.
    я воспользовался точкой восстановления созданной днём ранее.

    на данный момент, сообщения как на скриншотах, не появляются
    признаков вирусной активности не замечено

    спасибо

  • Уважаемый(ая) tr0y, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 5
      Последнее сообщение: 02.09.2009, 21:48
    3. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39
    5. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00802 seconds with 20 queries