Аваст орет:
имя файла: C\WINDOWS\mdt.exe\[UPX]
Имя вируса Win32:Warezov-MV[Wrm]
тип вируса червь
версия VPS: 000739-2, 11.05.2007
когда говоришь ему "удалить", тут же снова орет про то же самое.
его собственный скан ничего не находит.
Аваст орет:
имя файла: C\WINDOWS\mdt.exe\[UPX]
Имя вируса Win32:Warezov-MV[Wrm]
тип вируса червь
версия VPS: 000739-2, 11.05.2007
когда говоришь ему "удалить", тут же снова орет про то же самое.
его собственный скан ничего не находит.
Последний раз редактировалось usib6tfj; 12.05.2007 в 08:26.
Карантин нельзя прикреплять в теме. Он присылается только по запросу через спец. форму. (файл virusinfo_cure.zip) Удалите его из сообщения.
Вот это:
очень плохо. Обновляться надо.Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Выполните скрипт (как выполнять):
После перезагрузки пришлите карантин через эту ссылкуКод:begin ClearQuarantine; SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\System32\sbeiunra.dll',''); QuarantineFile('C:\WINDOWS\System32\wtsadpvo.dll',''); QuarantineFile('C:\WINDOWS\System32\msreh323.exe',''); QuarantineFile('C:\WINDOWS\System32\msreh323.dll',''); QuarantineFile('C\WINDOWS\mdt.exe',''); DeleteFile('C\WINDOWS\mdt.exe'); DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll'); DeleteFile('C:\WINDOWS\System32\sbeiunra.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите
NameServer = 212.188.4.10 195.34.32.116 Эти ДНС вам знакомы, если нет, тоКод:O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - AppInit_DLLs: wtsadpvo.dll O20 - Winlogon Notify: msreh323 - C:\WINDOWS\System32\msreh323.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
- тоже пофикситьКод:O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116
Телнет сами включали?
Последний раз редактировалось Kuzz; 12.05.2007 в 03:56.
The worst foe lies within the self...
Карантин из сообщения убрал, прислал куда надо. DNS явно левый, телнет тоже не сам включал. А систему конечно обновлю.
Спасибо за помощь!
Выполните еще вот этот скрипт:
а потом сделайте новые логи для контроля.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\msreh323.dll'); DeleteFile('C:\WINDOWS\System32\msreh323.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
гы, после перезапуска опять та же ботва
там что, есть кто-то, кто его заново создает?
Файл mdt.exe ни что иное, как realtime-compressed архив, в составе которого и находятся файлы. содержащие сигнатуры упомянутого червя. Аваст! детектит врага внутри этого архива, вынуть его из архива он не может, поэтому сканит дальше, натыкается на следующего в том же архиве - и всё начинается сначала. Удалить или хотя бы предложить пользователю, удалить архим целиком Аваст! не может - не знаю почему.
ок, вот последние логи:
Один еще жив, давайте исправим это.
Выполните скрипт:
и пофикситьКод:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll'); BC_DeleteFile('C:\WINDOWS\System32\wtsadpvo.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
После выполнения всего выше изложеного, повторите логи.Код:O20 - AppInit_DLLs: wtsadpvo.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{512A61FE-1088-434C-BA32-BE2EA254C2BA}: NameServer = 212.188.4.10 195.34.32.116 O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
The worst foe lies within the self...
O20 - AppInit_DLLs: wtsadpvo.dll
а вот это он пофиксить не может, падает
Значит, нужно логи еще раз сделать.
Телнет отключается так:
Пуск->Панель управления->Администрирование->Службы
В списке найти Телнет и поснавить Тип запуска: Отключено
The worst foe lies within the self...
вот последний
Варезов, похоже помер.. Как самоощущения?
Вот без заплаток, фаервола и включенным телнетом можете еще не раз стать клиентом "Помогите".
The worst foe lies within the self...
Это-то как раз правильно.3389 ESTABLISHED 66.11.173.114 2089 [724] c:\windows\system32\svchost.exe.
Спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sbeiunra.dll - Email-Worm.Win32.Warezov.mx (DrWEB: Win32.HLLM.Limar)
- c:\\windows\\system32\\wtsadpvo.dll - Email-Worm.Win32.Warezov.mx (DrWEB: Win32.HLLM.Limar)
Уважаемый(ая) usib6tfj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.