Дмитровский Форум V2

[Joe_Narn]

Антавирус обенаруживает файл comment.htt, пишет Virus found Exploit. Данный файл обнаруживается на всех трех логических дисках, причем не виден "невооруженным" глазом. Поиск результатов не дает. Антивирь - некто AVG халявный Edition. Можно как нибудь убрать его? (поставить нормальный антивирь не предлагать Не могу себе позволить такие растраты в данный момент. )

[Kmaro]

Антавирус обенаруживает файл comment.htt, пишет Virus found Exploit. Данный файл обнаруживается на всех трех логических дисках, причем не виден "невооруженным" глазом. Поиск результатов не дает. Антивирь - некто AVG халявный Edition. Можно как нибудь убрать его? (поставить нормальный антивирь не предлагать Не могу себе позволить такие растраты в данный момент. )

Format c:/

З.Ы.: а почему бы не NOD32?

[Joe_Narn]

формат ц - не проблема, но не хотелось бы еще формат д и е делать

[MONSTR]

Смок, что значит не виден невооруженным глазом? Сама винда не видит? А если загрузится с WinLive CD и ручками файлики удалить?

[Tr@n$]

да виден он. Надо только в настройках поставить "отображать скрытые файлы"

[Joe_Narn]

Транс, стоит отображение
Монстр, мне, как чайнику в пятом поколении, можно поподробнее?

[Aleks_dem]

заюзай Clamwin - бесплатный антивир, но база у него не плохая. он не мониторит (то есть не будет отслеживать твои побеги по инету), но просканит комп на отлично. Главное- обновится сначала

[Joe_Narn]

Clamwin не определяет данный файл как вирус, но во время сканироваеия мне удалось загнать его (файл) в Vault AVG.

[gosha]

clam в помойку :)

[MONSTR]

Смок, http://forum.zelan.ru/index.php?showtopic=51342 - например тут есть подробнее, в принципе большинство хлама туда напиханного - не нужно, но удалить твой файл с его помощью - легко. Наверняка у кого в сети такой есть - поделятся:)

[Сумеречный Дракон]

Полный текст по вопросу:

http://daxa.com.ua/vir.php?hnum=28

Выдержка:

VirusHunter предупреждает всех пользователей ПК о массовом распространении деструктивного червя Win32.Email-Worm.Wukill.A (aka Win32.Rays.A@mm) через вложения в почтовых посланиях, а также через съемные носители информации...
...

1. Источники попадания червя Win32.Email-Worm.Wukill.A в компьютер.

Червь начал свое распространение примерно в конце марта 2005 года. Может попадать в компьютер двумя путями: либо в виде письма с приложенным файлом, представляющим собой копию программы червя, либо через СНИ, такие как, например, дискеты и флэшки (теоретически, также может попадать в компьютер и через файло-обменные сети под видом "полезного" файла). В обоих случаях червь может активизироваться только в том случае, если пользователь собственноручно запустит вредоносный файл.
...

При запуске вредоносного вложения из почтового послания (название файла всегда одно и то же - MShelp.exe) червь выдает на экран следующее ложное сообщение о "повреждении файла", чтобы сбить пользователя столку:


Затем червь копирует себя в системный каталог под следующими названиями:

%windir%\Mstray.exe
%windir%\MShelp.exe

Сразу следует отметить, что значок-иконка у всех файлов-копий червя при просмотре через Проводник или файловый редактор-менеджер Total Commander косит под значок-иконку, характерный для папок. Вот, например, как будет выглядеть в списке файлов Mstray.exe:


Также червь считывает имя текущего диска, откуда его файл-вложение был запущен (обычно системный диск), после чего пытается скопировать себя на диск или СНИ, имя которого в списке носителей предшествует данному, т.е., например, при запуске с диска C: таковым будет диск А:, а при запуске с диска D: - диск C: и т.п.
...

8. Дэтэктирование и удаление червя из машины.

На момент создания данного описания Win32.Email-Worm.Wukill.A и создаваемые им вспомогательные компоненты антивирусы дэтэктируют так:

Антивирус Kaspersky AntiVirus:
файл winfile.exe (он же MShelp.exe, Mstray.exe и т.д.): Email-Worm.Win32.Rays
файл comment.htt: Trojan.VBS.Starter.a

Антивирус DrWeb:
файл winfile.exe (он же MShelp.exe, Mstray.exe и т.д.): Win32.HLLM.Wukill
файл comment.htt: Trojan.AppActXComp

Антивирус BitDefender Professional:
файл winfile.exe (он же MShelp.exe, Mstray.exe и т.д.): Win32.Wukill.E@mm
файл comment.htt: Trojan.Vbs.Starter.A

Для удаления червя из машины рядовому пользователю рекомендуется проделать следующее:

- проверить зараженный компьютер установленной на нем антивирусной программой, соглашаясь с удалением всех файлов, которые будут дэтэктироваться как вирусы с вышеперечисленными идентификационными названиями. Если машина связана с др. компьютерами локальной сетью, то ее необходимо на время лечения отключить от сетки. Также необходимо проверить и остальные компьютеры сети.

- настроить показ скрытых/системных фалов для дальнейшей работы с Проводником, для чего рекомендую воспользоваться утилитой из спец. набора от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.

Также для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих скрытно копировать вирусные файлы в открываемые через Проводник папки, Вы можете воспользоваться утилитой STSS (Stealth Trojan Script Searcher) от VirusHunter'а, которую можно скачать здесь http://daxa.com.ua/rar/STSS.rar.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Email-Worm.Wukill.B
Win32.Email-Worm.Wukill.Chttp://daxa.com.ua/rar/STSS.rar
...

Нууу батенька, вы уж совсем под чайника то не косите. Из почты запускать неизвестные вложения, думаю это как с первой же девкой снятой без перезерватива.

[Joe_Narn]

С-Д, я таким не грешил даже при первых шагах по Инету

Спасибо!!