Здравствуйте друзья. Вы мне уже помогли один раз с подобными проблемами, страница браузера перенаправлялась, поэтому буду рад помощи ещё раз. Вчера заметил, что стал жутко уползать траффик, у меня выделенная сеть. Просмотрел системную папку, несколько непонятных файлов послал на проверку Касперскому, нашёлся заражённый файл winsrs.exe-заражен Win32.HLLW.MyBot. Удалил его. Но неожиданно курсор мыши стал вести себя, как будто программа запускается, то есть курсор стал двойным, стрелкой и песочными часами, одним словом этот файл снова появился. Просканировал антивирами, drweb-cureit, ad-aware, spybot-search,avz. Только drweb-sureit точно определил заразу, удалил, avz обнаружил процесс, как подозрительный. Удалил, почистил регистр программкой regsearch и regedit. Нашлось несколько ключей, всё подчистил, но ненадолго. Иногда возникает этот файл сразу после удаления, иногда чуть позде, через 20-30 минут. Я уже и сетефой шнур выдернул из сетевой карты.И когда этот файл появляется, то невозможно запустить Msconfig и Regedit, на долю секунду запускается внешний вид и пропадает, как и окно командной строки. Сделал все процедуры, которые вы описали, в безопасном режиме с отключением восстановления системы и так далее. Вот похоже и всё, буду рад помощи. Спасибо
Файл winsrs.exe выслал с паролем.

И когда этот файл появляется, то невозможно запустить Msconfig и Regedit, на долю секунду запускается внешний вид и пропадает, как и окно командной строки. Сделал все процедуры, которые вы описали, в безопасном режиме с отключением восстановления системы и так далее.

пришлите (если он есть) файл c:\windows\system32\drivers\etc\hosts
файл c:\windows\system32\winsrs.exe спокойно стирайте
в реестре удалите все упоминания о файле winsrs.exe

p.s. чтобы запускались msconfig и regedit - переименуйте их в 1.exe и запускайте

Вы бы встроенный в XP файрвол активировали, если неродной ставить не хотите. А лучше ещё и Service Pack 2 поставить плюс все дополнительные заплатки. А то так и будут гады через дыры пролезать.

Имя зверя не по Касперскому, а по Dr.Web, так, что ли? Что-то я в энциклопедии такого не нахожу. То есть, море всего, но именно по классификации Dr.Web. А по этой классификации HLLW - самоходный червь, лазающий именно через дыры в системе (причём MyBot вроде бы через обе широко известные дыры распространяется - через RPC и через LSASS).

пришлите (если он есть) файл c:\windows\system32\drivers\etc\hosts
файл c:\windows\system32\winsrs.exe спокойно стирайте
в реестре удалите все упоминания о файле winsrs.exe

p.s. чтобы запускались msconfig и regedit - переименуйте их в 1.exe и запускайте

Спасибо за ответ. Файл выслал. В реестре удаляю все ключи и упоминания об этом файле, всё равно возникают...Что то сегодня пока тихо...Вот уже час как в сети, а winsrs.exe не возникает, такое впечатление, что запуск его происходит с удалённого компьютера...

Имя зверя не по Касперскому, а по Dr.Web, так, что ли? Что-то я в энциклопедии такого не нахожу. То есть, море всего, но именно по классификации Dr.Web. А по этой классификации HLLW - самоходный червь, лазающий именно через дыры в системе (причём MyBot вроде бы через обе широко известные дыры распространяется - через RPC и через LSASS).

Спасибо за ответ. Файрвол активировал. Извините, сам запутался...Первоначально, когда послал файл на сканер Касперскому, вирус был опознан как Backdoor.Win32.Rbot.aly, затем при сканированиее диска drweb-sureit, зверь был опознан, как Win32.HLLW.MyBot. Пока как будто тихо, но ночью возникал winsrs.exe после удаления очень быстро

Спасибо за ответ. Файл выслал.
файл hosts пока не дошел (может без пароля выслали?).



В реестре удаляю все ключи и упоминания об этом файле, всё равно возникают...Что то сегодня пока тихо...
т.е. получается, что записи в реестре возникают, а сам файл не возникает?
сделайте пожалуйста логи HJT и AVZ в обычном режиме с запущенным IE.

Вот это:
Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr)
NetMeeting Remote Desktop Sharing (mnmsrvc)
Лучше выключить.

И проверить что на всех учётных запислах администратора стоят не тривиальные пароли

Спасибо всем за ответ. Файл hosts выслал ещё раз в архиве с паролем virus, недавно пришёл домой, пока как будто всё Ок, но не верю, что надолго. Проверил программой regsearch Олега Зайцева, ключей и путей winsrs.exe не нашей в реестре. Процесс NetMeeting Remote Desktop Sharing выключил. Логи переслал, в учётных записях администратора насколько я помню паролей не ставил никогда. Необходимо поставить?

в учётных записях администратора насколько я помню паролей не ставил никогда. Необходимо поставить?
Обязательно нужно http://virusinfo.info/showthread.php?t=4277

файл hosts (который присылали на почту) во-первых поврежден, во-вторых - заражен. так что смело удаляйте.

Спасибо большое всем за помощь. Всё уладил