Помогите, словил вирусняк через асю и почту.

Вообще-то я довольно мнительный в плане открывать всякую фигню, но тут пришло сообщение от пользователя из контакт-листа, и я не устоял. Дальше как обычно- по ссылке ничего не открылось, NOD32 control center слетел, остался работать Outpost. Подозрительно как-то... Я позвонил человеку и убедился, что он мне ничего не присылал. Попытки переустановить НОД успехов не имели, NOD32 contol center выдавал ошибку ядра, при этом сканер NOD32 работал. Каспер 5 тоже не хотел устанавливаться (файл установки не запускался вообще), после переименования файла установки прога встала, но не запускалась. Проверил новые файлы, в windows/system32 обнаружились какие-то новые dll и exe файлы, я их снес, что сумел. ПотОм еще на почту пришло пара писем, типа, с вашего адреса летят вирусы, срочно установите наши патчи. Ну, я тоже по одной ссылке ломанулся в панике. :embarasse Вечером поставил новый Outpost 4.0.971.7030 (584). На данный момент повышенная сетевая активность не наблюдается, все, что вылезло в автозагрузку было отменено и новое не проявляется. В диспетчере задач наблюдаю активный процесс sbeddem.exe. Файл с этим названием был вчера удален из директории windows/system32, файл sbeddem.dll, сидевший там же, удалить не смог. Данный процесс просил исходящее соединение, был блокирован Outpost'ом. NOD32 control center по-прежнему не функционирует, пробовал переустанавливать несколько раз, NOD32 сканер и Outpost Anti-spyware периодически при проверке системы показывают несколько вирусов, я их уничтожаю, а потОм все по-новой. Логи AVZ и HijackThis прикрепляю, старался все делать, как написано в инструкции. Заранее прошу прощения за некоторый сумбур в изложении инфы, ибо не хакер я.:)
С увж., Антон.

Пришлите файл C:\WINDOWS\System32\sbeddem.dll для анализа согласно правилам

[quote=Зайцев Олег]Пришлите файл C:\WINDOWS\System32\sbeddem.dll для анализа согласно правилам[/quote]
ОК, выслал.
Файл сохранён как 061123_080603_virus_45659cbbdeb08.zip
Размер файла 96382
MD5 59637a0ee2c13dd2b14dfba0420ffafe
А больше никаких подозрительных файлов в логах не прописано?

sbeddem.dll - Email-Worm.Win32.Warezov.fz, этот файл нужно удалить отложенным удалением. После этого нужно перезагрузиться и сделать новые логи - для контроля.

[quote=Зайцев Олег]sbeddem.dll - Email-Worm.Win32.Warezov.fz, этот файл нужно удалить отложенным удалением. После этого нужно перезагрузиться и сделать новые логи - для контроля.[/quote]
Спасибо! А можно поподробнее про отложенное удаление? Или хотя бы где прочитать? Удалить надо только .dll? А он в тут же директорию постоянно генерирует такой же .exe (вчера удалял, а сегодня он опять на месте:)), его тоже в топку?
Да, а может этот вирус быть причиной того, что не запускается NOD32 control center?

1. Запустить AVZ
2. В меню AVZGuard - Включить AVZGuard
3. В меню Файл - Отложенное удаление файла - в поле вводите:
[code]C:\WINDOWS\System32\sbeddem.dll[/code]
и жмёте OK
4. То же самое для
[code]C:\WINDOWS\System32\sbeddem.exe[/code]
5. Перезагружаетесь, не выходя из AVZ и не выключая AVZGuard

Сорри, не дождался ответа и сделал отложенное удаление без включения AVZGuard. Файлы из директории удалились, так что по-другому удалить их ужЕ не могу.:embarasse Процесс sbeddem в диспетчере задач отсутствует. Логи после перезагрузки выглядят так:

Поищите и, если найдётся, пришлите файл [b]mssvcc.exe[/b]. Потом можно пофиксить:
[code]O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\System32\sbeddem.dll (file missing)[/code]
А вот это я не знаю, что такое, но ссылки выглядят подозрительно:
[code]O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://www.fxkeb.com/XecureObject/xw_install.cab
O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/keb/npkcx.cab
O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB[/code]
Может, кто знает?

я бы рекомедовал пофиксить .Похоже на корейскю рекламу

[quote=drongo]я бы рекомедовал пофиксить .Похоже на корейскю рекламу[/quote]
очень возможно, я по работе шарюсь по корейским сайтам.:P

[quote=pig]Поищите и, если найдётся, пришлите файл [B]mssvcc.exe[/B]. Потом можно пофиксить:
[code]O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\System32\sbeddem.dll (file missing)[/code]
А вот это я не знаю, что такое, но ссылки выглядят подозрительно:
[code]O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://www.fxkeb.com/XecureObject/xw_install.cab
O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/keb/npkcx.cab
O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB[/code]
Может, кто знает?[/quote]
Короче, я все пофиксил на всякий случай, решил, хуже не будет. Вышеуказанный файл не нашел, видимо, его какой-нить антивирь ужЕ грохнул, а мож, я сам в панике.;)
NOD32 control center тоже сразу заработал, в общем, наступило щастье!
Всем участникам огромное спасибо и успехов!!!