Показано с 1 по 16 из 16.

Аваст орет про вирус, но его же скан ничего не находит (заявка № 9647)

  1. #1
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    35

    Exclamation Аваст орет про вирус, но его же скан ничего не находит

    Аваст орет:
    имя файла: C\WINDOWS\mdt.exe\[UPX]
    Имя вируса Win32:Warezov-MV[Wrm]
    тип вируса червь
    версия VPS: 000739-2, 11.05.2007

    когда говоришь ему "удалить", тут же снова орет про то же самое.
    его собственный скан ничего не находит.
    Вложения Вложения
    Последний раз редактировалось usib6tfj; 12.05.2007 в 08:26.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Карантин нельзя прикреплять в теме. Он присылается только по запросу через спец. форму. (файл virusinfo_cure.zip) Удалите его из сообщения.
    Вот это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    очень плохо. Обновляться надо.

    Выполните скрипт (как выполнять):
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\System32\sbeiunra.dll','');
     QuarantineFile('C:\WINDOWS\System32\wtsadpvo.dll','');
     QuarantineFile('C:\WINDOWS\System32\msreh323.exe','');
     QuarantineFile('C:\WINDOWS\System32\msreh323.dll','');
     QuarantineFile('C\WINDOWS\mdt.exe','');
     DeleteFile('C\WINDOWS\mdt.exe');
     DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
     DeleteFile('C:\WINDOWS\System32\sbeiunra.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин через эту ссылку

    Пофиксите
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O20 - AppInit_DLLs:  wtsadpvo.dll
    O20 - Winlogon Notify: msreh323 - C:\WINDOWS\System32\msreh323.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    NameServer = 212.188.4.10 195.34.32.116 Эти ДНС вам знакомы, если нет, то
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116
    - тоже пофиксить

    Телнет сами включали?
    Последний раз редактировалось Kuzz; 12.05.2007 в 03:56.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    35
    Карантин из сообщения убрал, прислал куда надо. DNS явно левый, телнет тоже не сам включал. А систему конечно обновлю.
    Спасибо за помощь!

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните еще вот этот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\msreh323.dll');
     DeleteFile('C:\WINDOWS\System32\msreh323.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    а потом сделайте новые логи для контроля.

  6. #5
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    35
    гы, после перезапуска опять та же ботва
    там что, есть кто-то, кто его заново создает?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Цитата Сообщение от usib6tfj Посмотреть сообщение
    гы, после перезапуска опять та же ботва
    Успокойтесь. Сделайте логи еще раз.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от usib6tfj Посмотреть сообщение
    Аваст орет:
    имя файла: C\WINDOWS\mdt.exe\[UPX]
    когда говоришь ему "удалить", тут же снова орет про то же самое.
    его собственный скан ничего не находит.
    Файл mdt.exe ни что иное, как realtime-compressed архив, в составе которого и находятся файлы. содержащие сигнатуры упомянутого червя. Аваст! детектит врага внутри этого архива, вынуть его из архива он не может, поэтому сканит дальше, натыкается на следующего в том же архиве - и всё начинается сначала. Удалить или хотя бы предложить пользователю, удалить архим целиком Аваст! не может - не знаю почему.

  9. #8
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    35
    ок, вот последние логи:
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Один еще жив, давайте исправим это.
    Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
     BC_DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    и пофиксить
    Код:
    O20 - AppInit_DLLs:  wtsadpvo.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
    После выполнения всего выше изложеного, повторите логи.
    The worst foe lies within the self...

  11. #10
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    35
    O20 - AppInit_DLLs: wtsadpvo.dll
    а вот это он пофиксить не может, падает

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Значит, нужно логи еще раз сделать.

    Телнет отключается так:
    Пуск->Панель управления->Администрирование->Службы
    В списке найти Телнет и поснавить Тип запуска: Отключено
    The worst foe lies within the self...

  13. #12
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    35
    вот последний
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Варезов, похоже помер.. Как самоощущения?
    Вот без заплаток, фаервола и включенным телнетом можете еще не раз стать клиентом "Помогите".
    The worst foe lies within the self...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Вот без заплаток, фаервола и включенным телнетом можете еще не раз стать клиентом "Помогите".
    да по-моему ещё не вылечен:
    Код:
    3389	ESTABLISHED	66.11.173.114	2089	[724] c:\windows\system32\svchost.exe.
    Что ищет svchost.exe в Канаде?
    OrgName: Doncaster Consulting Inc
    OrgID: DOCO
    Address: 2720 Queensview Dr.
    City: Nepean
    StateProv: ON
    PostalCode: K1P-5G8
    Country: CA

  16. #15
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    35
    3389 ESTABLISHED 66.11.173.114 2089 [724] c:\windows\system32\svchost.exe.
    Это-то как раз правильно.
    Спасибо за помощь!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,511
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\sbeiunra.dll - Email-Worm.Win32.Warezov.mx (DrWEB: Win32.HLLM.Limar)
      2. c:\\windows\\system32\\wtsadpvo.dll - Email-Worm.Win32.Warezov.mx (DrWEB: Win32.HLLM.Limar)


  • Уважаемый(ая) usib6tfj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Аваст постоянно чтото находит или блокирует
      От nuclearmax в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.09.2011, 22:00
    2. Ответов: 6
      Последнее сообщение: 10.04.2010, 07:04
    3. Аваст орет,что обнаружен Руткит (заявка №2264)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 03:00
    4. Ответов: 10
      Последнее сообщение: 01.12.2009, 20:07
    5. Аваст находит вирус
      От doggyq в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.02.2009, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01291 seconds with 24 queries