Показано с 1 по 16 из 16.

Аваст орет про вирус, но его же скан ничего не находит (заявка № 9647)

  1. #1
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    39

    Exclamation Аваст орет про вирус, но его же скан ничего не находит

    Аваст орет:
    имя файла: C\WINDOWS\mdt.exe\[UPX]
    Имя вируса Win32:Warezov-MV[Wrm]
    тип вируса червь
    версия VPS: 000739-2, 11.05.2007

    когда говоришь ему "удалить", тут же снова орет про то же самое.
    его собственный скан ничего не находит.
    Вложения Вложения
    Последний раз редактировалось usib6tfj; 12.05.2007 в 08:26.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1813
    Карантин нельзя прикреплять в теме. Он присылается только по запросу через спец. форму. (файл virusinfo_cure.zip) Удалите его из сообщения.
    Вот это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    очень плохо. Обновляться надо.

    Выполните скрипт (как выполнять):
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\System32\sbeiunra.dll','');
     QuarantineFile('C:\WINDOWS\System32\wtsadpvo.dll','');
     QuarantineFile('C:\WINDOWS\System32\msreh323.exe','');
     QuarantineFile('C:\WINDOWS\System32\msreh323.dll','');
     QuarantineFile('C\WINDOWS\mdt.exe','');
     DeleteFile('C\WINDOWS\mdt.exe');
     DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
     DeleteFile('C:\WINDOWS\System32\sbeiunra.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин через эту ссылку

    Пофиксите
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O20 - AppInit_DLLs:  wtsadpvo.dll
    O20 - Winlogon Notify: msreh323 - C:\WINDOWS\System32\msreh323.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    NameServer = 212.188.4.10 195.34.32.116 Эти ДНС вам знакомы, если нет, то
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116
    - тоже пофиксить

    Телнет сами включали?
    Последний раз редактировалось Kuzz; 12.05.2007 в 03:56.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    39
    Карантин из сообщения убрал, прислал куда надо. DNS явно левый, телнет тоже не сам включал. А систему конечно обновлю.
    Спасибо за помощь!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните еще вот этот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\msreh323.dll');
     DeleteFile('C:\WINDOWS\System32\msreh323.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    а потом сделайте новые логи для контроля.

  6. #5
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    39
    гы, после перезапуска опять та же ботва
    там что, есть кто-то, кто его заново создает?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1798
    Цитата Сообщение от usib6tfj Посмотреть сообщение
    гы, после перезапуска опять та же ботва
    Успокойтесь. Сделайте логи еще раз.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от usib6tfj Посмотреть сообщение
    Аваст орет:
    имя файла: C\WINDOWS\mdt.exe\[UPX]
    когда говоришь ему "удалить", тут же снова орет про то же самое.
    его собственный скан ничего не находит.
    Файл mdt.exe ни что иное, как realtime-compressed архив, в составе которого и находятся файлы. содержащие сигнатуры упомянутого червя. Аваст! детектит врага внутри этого архива, вынуть его из архива он не может, поэтому сканит дальше, натыкается на следующего в том же архиве - и всё начинается сначала. Удалить или хотя бы предложить пользователю, удалить архим целиком Аваст! не может - не знаю почему.

  9. #8
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    39
    ок, вот последние логи:
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1813
    Один еще жив, давайте исправим это.
    Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
     BC_DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    и пофиксить
    Код:
    O20 - AppInit_DLLs:  wtsadpvo.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
    После выполнения всего выше изложеного, повторите логи.
    The worst foe lies within the self...

  11. #10
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    39
    O20 - AppInit_DLLs: wtsadpvo.dll
    а вот это он пофиксить не может, падает

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1813
    Значит, нужно логи еще раз сделать.

    Телнет отключается так:
    Пуск->Панель управления->Администрирование->Службы
    В списке найти Телнет и поснавить Тип запуска: Отключено
    The worst foe lies within the self...

  13. #12
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    39
    вот последний
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1813
    Варезов, похоже помер.. Как самоощущения?
    Вот без заплаток, фаервола и включенным телнетом можете еще не раз стать клиентом "Помогите".
    The worst foe lies within the self...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Вот без заплаток, фаервола и включенным телнетом можете еще не раз стать клиентом "Помогите".
    да по-моему ещё не вылечен:
    Код:
    3389	ESTABLISHED	66.11.173.114	2089	[724] c:\windows\system32\svchost.exe.
    Что ищет svchost.exe в Канаде?
    OrgName: Doncaster Consulting Inc
    OrgID: DOCO
    Address: 2720 Queensview Dr.
    City: Nepean
    StateProv: ON
    PostalCode: K1P-5G8
    Country: CA

  16. #15
    Junior Member Репутация
    Регистрация
    12.05.2007
    Сообщений
    7
    Вес репутации
    39
    3389 ESTABLISHED 66.11.173.114 2089 [724] c:\windows\system32\svchost.exe.
    Это-то как раз правильно.
    Спасибо за помощь!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\sbeiunra.dll - Email-Worm.Win32.Warezov.mx (DrWEB: Win32.HLLM.Limar)
      2. c:\\windows\\system32\\wtsadpvo.dll - Email-Worm.Win32.Warezov.mx (DrWEB: Win32.HLLM.Limar)


  • Уважаемый(ая) usib6tfj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Аваст постоянно чтото находит или блокирует
      От nuclearmax в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.09.2011, 22:00
    2. Ответов: 6
      Последнее сообщение: 10.04.2010, 07:04
    3. Аваст орет,что обнаружен Руткит (заявка №2264)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 03:00
    4. Ответов: 10
      Последнее сообщение: 01.12.2009, 20:07
    5. Аваст находит вирус
      От doggyq в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.02.2009, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00615 seconds with 17 queries