Trojan.spambot

DrWeb обнаруживает вирус Trojan.spambot в файле rsvp32_2.dll, предлагает лечить, в статистике вирус значится как вылеченный...
после перезагрузки все по новой...
винда XP SP1, думаю проблема в этом...

вопрос к знающим, что лучше: снести и поставить заново (сразу SP2), или вылечить и обновлять до SP2?

поставить заново (сразу SP2) лучше ;)
Сейчас посмотрю что у вас. Погодите с перестановкой, может ценный экземпляр найдём;)

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('C:\WINDOWS\System32\syst4n0.dll','');
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\windev-2954-30dd.sys','');
QuarantineFile('C:\WINDOWS\System32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\System32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\svchоst.exe','');
QuarantineFile('C:\WINDOWS\r7537w32.dll','');
QuarantineFile('c:\windows\svchоst.exe','');
QuarantineFile('C:\Documents and Settings\Borodyanskaya.FRENDSHIP\Local Settings\Temporary Internet Files\OLKD\Торгово-парковочный комплекс (2).doc','');
QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\2350.exe','');
QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\6354.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]

svchist.exe , ext.exe должны где валяться - найдите: [url]http://virusinfo.info/showthread.php?t=4567[/url]

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10918[/url]
Классная коллекция ;)

P.s. В этом разделе те кто "не знающие" не смогут ответить. Проверить просто : зарегистрируйте аккаунт с другим ником и попробуйте ответить в этой теме ;-*)

Надо посмотреть, как говаривал один товарищ.
Есть вариант: вылечится и потом поставить СП2.

Если нужной и-ции мало, то можно и сразу "под нож".

файлы svchist.exe , ext.exe не находятся ни в avz ни проводником...
содержимое карантина прислал

[QUOTE='PavelA;121464']Есть вариант: вылечится и потом поставить СП2. [/QUOTE]вариант чуть хуже по моему. Даже если смотреть теоретически, винда уже работала, мусора в реестре завались да ещё с такой "коллекцией"- лучше переставить сразу с SP2 если есть возможность и находящейся информации на диске C не жалко...

ну так что, есть смысл лечить? информации на диске по большому счету не жалко...
просто если переустанавливать, то мне нужно начинать прямо сейчас, завтра с утра комп нужен уже в рабочем состоянии;)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('c:\windows\svchоst.exe');
DeleteFile('C:\WINDOWS\r7537w32.dll');
DeleteFile('C:\WINDOWS\System32\ovrscn.dll');
DeleteFile('C:\WINDOWS\System32\ovrscn.sys');
DeleteFile('C:\WINDOWS\System32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\windev-2954-30dd.sys');
DeleteFile('C:\WINDOWS\System32\syst4n0.dll');
DeleteFile('C:\WINDOWS\userinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [NeroFilterCheck] svchist.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll
O21 - SSODL: 601468 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: 433759 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: 576968 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)[/CODE]Повторите логи. Радмин сами ставили?

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL].

радмин поставили до меня, я им почти не пользуюсь
в инет выхожу с другова компа

сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин

[QUOTE='martin79;121503']радмин поставили до меня, я им почти не пользуюсь[/QUOTE]В таком случае удалите его.

[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
[QUOTE='Maxim;121504']сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин[/QUOTE]Не надо карантин присылать. Я ошибся. После этого скрипта в карантин ни чего не попадет.

ок, уберу его... правда в ограничениях там прописан только ip моего компа, вряд ли через него можно подключиться)

хм, только что заметил про логи... все логи высылать, как в начале темы?

[QUOTE='martin79;121508']хм, только что заметил про логи... все логи высылать, как в начале темы?[/QUOTE]Да. Как комп себя чувствует?

[quote=Maxim;121510]Да. Как комп себя чувствует?[/quote]
идет на поправку;)

не смог обнаружить в хайджеке этих строк...
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)


сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени) как все завершиться, вышлю логи

[QUOTE='martin79;121517']не смог обнаружить в хайджеке этих строк...[/QUOTE]Это хорошо.
[QUOTE='martin79;121517']сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени) [/QUOTE]А почему так долго?

долго, потому что он диск С: проверяет... может после чистки быстрее проверит?

[QUOTE='martin79;121522']может после чистки быстрее проверит?[/QUOTE]Посмотрим :)

проверка длилась даже больше, аж 55 минут...

[QUOTE='martin79;121541']проверка длилась даже больше, аж 55 минут...[/QUOTE]У Вас архивов много. Целых 118666 :) AVZ их распаковывал и проверял.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrSvc('Microsoft security update service');
BC_QrSvc('MS Internet Countermeasures Framework2b');
BC_QrFile('C:\WINDOWS\system32\qz.sys');
BC_QrFile('c:\windows\system32\msvcrtd.exe');
BC_QrFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
BC_DeleteSvc('Microsoft security update service');
BC_DeleteSvc('MS Internet Countermeasures Framework2b');
BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

снова все три лога?

[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
карантин выслал

[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
время позднее, логи будут завтра утром

Ок. Как самочувствие компьютера?

с утра не получилось, отправляю сейчас три лога