Помогите, словил вирусняк через асю и почту.

[Тошкин]

Вообще-то я довольно мнительный в плане открывать всякую фигню, но тут пришло сообщение от пользователя из контакт-листа, и я не устоял. Дальше как обычно- по ссылке ничего не открылось, NOD32 control center слетел, остался работать Outpost. Подозрительно как-то... Я позвонил человеку и убедился, что он мне ничего не присылал. Попытки переустановить НОД успехов не имели, NOD32 contol center выдавал ошибку ядра, при этом сканер NOD32 работал. Каспер 5 тоже не хотел устанавливаться (файл установки не запускался вообще), после переименования файла установки прога встала, но не запускалась. Проверил новые файлы, в windows/system32 обнаружились какие-то новые dll и exe файлы, я их снес, что сумел. ПотОм еще на почту пришло пара писем, типа, с вашего адреса летят вирусы, срочно установите наши патчи. Ну, я тоже по одной ссылке ломанулся в панике. Вечером поставил новый Outpost 4.0.971.7030 (584). На данный момент повышенная сетевая активность не наблюдается, все, что вылезло в автозагрузку было отменено и новое не проявляется. В диспетчере задач наблюдаю активный процесс sbeddem.exe. Файл с этим названием был вчера удален из директории windows/system32, файл sbeddem.dll, сидевший там же, удалить не смог. Данный процесс просил исходящее соединение, был блокирован Outpost'ом. NOD32 control center по-прежнему не функционирует, пробовал переустанавливать несколько раз, NOD32 сканер и Outpost Anti-spyware периодически при проверке системы показывают несколько вирусов, я их уничтожаю, а потОм все по-новой. Логи AVZ и HijackThis прикрепляю, старался все делать, как написано в инструкции. Заранее прошу прощения за некоторый сумбур в изложении инфы, ибо не хакер я.
С увж., Антон.

[Зайцев Олег]

Пришлите файл C:\WINDOWS\System32\sbeddem.dll для анализа согласно правилам

[Тошкин]

Пришлите файл C:\WINDOWS\System32\sbeddem.dll для анализа согласно правилам

ОК, выслал.
Файл сохранён как 061123_080603_virus_45659cbbdeb08.zip
Размер файла 96382
MD5 59637a0ee2c13dd2b14dfba0420ffafe
А больше никаких подозрительных файлов в логах не прописано?

[Зайцев Олег]

sbeddem.dll - Email-Worm.Win32.Warezov.fz, этот файл нужно удалить отложенным удалением. После этого нужно перезагрузиться и сделать новые логи - для контроля.

[Тошкин]

sbeddem.dll - Email-Worm.Win32.Warezov.fz, этот файл нужно удалить отложенным удалением. После этого нужно перезагрузиться и сделать новые логи - для контроля.

Спасибо! А можно поподробнее про отложенное удаление? Или хотя бы где прочитать? Удалить надо только .dll? А он в тут же директорию постоянно генерирует такой же .exe (вчера удалял, а сегодня он опять на месте), его тоже в топку?
Да, а может этот вирус быть причиной того, что не запускается NOD32 control center?

[pig]

1. Запустить AVZ
2. В меню AVZGuard - Включить AVZGuard
3. В меню Файл - Отложенное удаление файла - в поле вводите:

Код:

C:\WINDOWS\System32\sbeddem.dll

и жмёте OK
4. То же самое для

Код:

C:\WINDOWS\System32\sbeddem.exe

5. Перезагружаетесь, не выходя из AVZ и не выключая AVZGuard

[Тошкин]

Сорри, не дождался ответа и сделал отложенное удаление без включения AVZGuard. Файлы из директории удалились, так что по-другому удалить их ужЕ не могу. Процесс sbeddem в диспетчере задач отсутствует. Логи после перезагрузки выглядят так:

[pig]

Поищите и, если найдётся, пришлите файл mssvcc.exe. Потом можно пофиксить:

Код:

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\System32\sbeddem.dll (file missing)

А вот это я не знаю, что такое, но ссылки выглядят подозрительно:

Код:

O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://www.fxkeb.com/XecureObject/xw_install.cab
O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/keb/npkcx.cab
O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB

Может, кто знает?

[drongo]

я бы рекомедовал пофиксить .Похоже на корейскю рекламу

[Тошкин]

я бы рекомедовал пофиксить .Похоже на корейскю рекламу

очень возможно, я по работе шарюсь по корейским сайтам.

[Тошкин]

Поищите и, если найдётся, пришлите файл mssvcc.exe. Потом можно пофиксить:

Код:

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\System32\sbeddem.dll (file missing)

А вот это я не знаю, что такое, но ссылки выглядят подозрительно:

Код:

O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://www.fxkeb.com/XecureObject/xw_install.cab
O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/keb/npkcx.cab
O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB

Может, кто знает?

Короче, я все пофиксил на всякий случай, решил, хуже не будет. Вышеуказанный файл не нашел, видимо, его какой-нить антивирь ужЕ грохнул, а мож, я сам в панике.
NOD32 control center тоже сразу заработал, в общем, наступило щастье!
Всем участникам огромное спасибо и успехов!!!