Аваст орет:
имя файла: C\WINDOWS\mdt.exe\[UPX]
Имя вируса Win32:Warezov-MV[Wrm]
тип вируса червь
версия VPS: 000739-2, 11.05.2007
когда говоришь ему "удалить", тут же снова орет про то же самое.
его собственный скан ничего не находит.
Printable View
Аваст орет:
имя файла: C\WINDOWS\mdt.exe\[UPX]
Имя вируса Win32:Warezov-MV[Wrm]
тип вируса червь
версия VPS: 000739-2, 11.05.2007
когда говоришь ему "удалить", тут же снова орет про то же самое.
его собственный скан ничего не находит.
Карантин [COLOR="Red"]нельзя[/COLOR] прикреплять в теме. Он присылается только по запросу через спец. форму. (файл virusinfo_cure.zip) Удалите его из сообщения.
Вот это:
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
очень плохо. Обновляться надо.
Выполните скрипт ([URL="http://virusinfo.info/showthread.php?t=7239"]как выполнять[/URL]):
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\sbeiunra.dll','');
QuarantineFile('C:\WINDOWS\System32\wtsadpvo.dll','');
QuarantineFile('C:\WINDOWS\System32\msreh323.exe','');
QuarantineFile('C:\WINDOWS\System32\msreh323.dll','');
QuarantineFile('C\WINDOWS\mdt.exe','');
DeleteFile('C\WINDOWS\mdt.exe');
DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
DeleteFile('C:\WINDOWS\System32\sbeiunra.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите карантин [URL="http://virusinfo.info/upload_virus.php?tid=9647"]через эту ссылку[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs: wtsadpvo.dll
O20 - Winlogon Notify: msreh323 - C:\WINDOWS\System32\msreh323.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
[/CODE]
NameServer = 212.188.4.10 195.34.32.116 Эти ДНС вам знакомы, если нет, то
[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116
[/CODE] - тоже пофиксить
Телнет сами включали?
Карантин из сообщения убрал, прислал куда надо. DNS явно левый, телнет тоже не сам включал. А систему конечно обновлю.
Спасибо за помощь!
Выполните еще вот этот скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\msreh323.dll');
DeleteFile('C:\WINDOWS\System32\msreh323.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
а потом сделайте новые логи для контроля.
гы, после перезапуска опять та же ботва >:(
там что, есть кто-то, кто его заново создает? :?
[QUOTE=usib6tfj;109256]гы, после перезапуска опять та же ботва >:( [/QUOTE]
Успокойтесь.:) Сделайте логи еще раз.
[QUOTE=usib6tfj;109224]Аваст орет:
имя файла: C\WINDOWS\mdt.exe\[UPX]
когда говоришь ему "удалить", тут же снова орет про то же самое.
его собственный скан ничего не находит.[/QUOTE]
Файл mdt.exe ни что иное, как realtime-compressed архив, в составе которого и находятся файлы. содержащие сигнатуры упомянутого червя. Аваст! детектит врага внутри этого архива, вынуть его из архива он не может, поэтому сканит дальше, натыкается на следующего в том же архиве - и всё начинается сначала. Удалить или хотя бы предложить пользователю, удалить архим целиком Аваст! не может - не знаю почему.
ок, вот последние логи:
Один еще жив, давайте исправим это.
Выполните скрипт:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
BC_DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
и [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL]
[CODE]O20 - AppInit_DLLs: wtsadpvo.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
[/CODE]
После выполнения всего выше изложеного, повторите логи.
O20 - AppInit_DLLs: wtsadpvo.dll
а вот это он пофиксить не может, падает
Значит, нужно логи еще раз сделать.
Телнет отключается так:
Пуск->Панель управления->Администрирование->Службы
В списке найти Телнет и поснавить Тип запуска: Отключено
вот последний
Варезов, похоже помер.. Как самоощущения?
Вот без заплаток, фаервола и включенным телнетом можете еще не раз стать клиентом "Помогите".
[QUOTE=Kuzz;109269]Вот без заплаток, фаервола и включенным телнетом можете еще не раз стать клиентом "Помогите".[/QUOTE]
да по-моему ещё не вылечен:
[CODE]3389 ESTABLISHED 66.11.173.114 2089 [724] c:\windows\system32\svchost.exe.[/CODE]
Что ищет svchost.exe в Канаде?
[QUOTE]OrgName: Doncaster Consulting Inc
OrgID: DOCO
Address: 2720 Queensview Dr.
City: Nepean
StateProv: ON
PostalCode: K1P-5G8
Country: CA
[/QUOTE]
[QUOTE]3389 ESTABLISHED 66.11.173.114 2089 [724] c:\windows\system32\svchost.exe.[/QUOTE]
Это-то как раз правильно.
Спасибо за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\sbeiunra.dll - [B]Email-Worm.Win32.Warezov.mx[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\wtsadpvo.dll - [B]Email-Worm.Win32.Warezov.mx[/B] (DrWEB: Win32.HLLM.Limar)[/LIST][/LIST]