Опера рвется на karlo.no-ip.info

[4kusNick]

Здравствуйте!

У меня такая проблема:
Как-то после перезагрузки увидел в памяти процесс opera.exe, запущенный из папки, где у меня стоит опера. Все бы хорошо, да вот только оперу я не загружал и в автозапуске ее нету. Причем этот процесс весит в памяти всего 2.5 метра. Сразу проверился всем, чем только можно - ни Dr. Web, ни AntiVir на Каспер ни Bit Defender ни Ad-Aware ни AVP ничего не нашли, все было с последними базами.
Затем я увидел, что этот процесс рвется в сеть (у меня агнитум стоит), причем на Удаленный адрес karlo.no-ip.info (Удаленная служба TCP:3460), ну я ему не дал этого сделать, зашел сам на сайт, он оказался запаролен, причем какой-то он странный. Ну тогда я этот процесс убил - да не тут то было, он снова запустился через 10 секунд где-то и снова начал рваться на karlo.no-ip.info.
В гугле ввел этот адрес в поиск - никаких результатов.
Возможно, кто-нибудь подскажет, как быть?
Спасибо.

[ALEX(XX)]

Возможно, кто-нибудь подскажет, как быть?

Прочитать и выполнить правила

[4kusNick]

Все по правилам сделал, кроме что от AVZ у меня архив называется не virusinfo_syscure.zip, а virusinfo_cure.zip. AVZ его сам так обозвал. Возможно, вам стоит подкорректировать правила?..
В общем, при проверках, опера не была запущена, но в логах виден ее процесс =(
Причем, если смотреть по Process Explorer, то родителем этого процесса является Explorer.exe.

PS Нашел у себя в папке c:\Windows\System32\Drivers
подозрительный файл oreans32.sys
Я погуглил и понял, что этот файл появляется при установки каких-то крипто-прог от Orean. Я такого не помню, чтобы ставил, отправил этот файл на virustotal.com. Все анвири молчат, кроме этого:

CAT-QuickHeal 9.00 2007.09.15 Rootkit.Agent.ad

Надеюсь, что-нибудь посоветуете...
Спасибо!

[Numb]

1. Уберите файл virusinfo_cure.zip из вложений в теме - это файл карантина, его следует загружать по ссылке наверху страницы.
2. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('d:\program files\opera\opera.exe','');
BC_QrFile('d:\program files\opera\opera.exe');
BC_Activate;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=12492 , как написано в прил.3 правил

[4kusNick]

Вставил Ваш скрипт в AVZ (выполнить скрипт), проверил синтаксис - все ок, нажал Запустить, началась проверка , нейтрализация руткитов, а потом вылетела ошибка:
Filed to set data for Display/Name
Причем, вылетела она сразу после того, как в логе появилась эта строчка: Ошибка в работе антируткита [Out of memory], шаг [11]

В карантине последние записи только за 09.09.2007 и накакой оперы там конечно нет, ведь скрипт до карантина оперы, как я понял, не дошел =(

Добавлено через 45 минут

Подскажите пожалуйста, что делать, я уже думаю о переустановке системы, но очень не хочется ее снова всю настраивать - времени на это практически нету =(

[AndreyKa]

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 QuarantineFile('pgdfgsvc','');
 QuarantineFile('pgdfgsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32:msnsrve.exe','');
 QuarantineFile('C:\WINDOWS\system32\mdimon.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 QuarantineFile('D:\Program Files\Opera\Opera.exe','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) по ссылке http://virusinfo.info/upload_virus.php?tid=12492

[4kusNick]

Спасибо, но я уже винду переустановил - очень срочно рабочий комп нужен был