ICQ вирус

Добрый вечер.
Поискал по сайту - так и не нашел похожего случая. В аську пришло сообщение: "я мечтаю о тебе ...и ссылка с сайта [URL="http://www.radiodeejay.hr"]www.radiodeejay.hr[/URL] (есть варианты с "фотками киски" и.т.д.) и далее нормальный текст.
Злое стечение обстоятельств - ссылка была от моей девушки:) Зашел...теперь жду, когда начну сам рассылать такие же сообщения. В интернете тоже мало встречается описание подобного червя, кроме того, что у людей с этой заразой - подобные фразы постятся даже на форумы, непосредственно перед их сообщением.Ну и по аське всем рассылает.
Такое вот сумбурное описание проблемы:) Вообщем кто-нибудь сталкивался с такой вещью?

[URL="http://virusinfo.info/showthread.php?t=1235"]Правила[/URL]

Да я в курсе насчет правил, думал может кто знает решение именно этой проблемы...не хотел ворошить осиное гнездо:) Там столько всего понаходилось и поудалялось.
Прикрепляю логи.
---------------------
C:\WINDOWS\system32\rsvp32_2.bak Trojan-Proxy.Win32.Agent.ly
c:\windows\system32\rsvp32_2.dll Trojan-Proxy.Win32.Agent.ly
Эти два файла пришлось восстановить из Infected, так как после их удаления умер интернет.

Чтобы этого агента добить: AVZ - Файл - Выполнить скрипт:
[code]begin
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\rsvp32_2.bak');
DeleteFile('c:\windows\system32\rsvp32_2.dll');
AutoFixSPI;
RebootWindows(true);
end.[/code]
Если интернет опять пропадёт:
[code]begin
ExecuteRepair(15);
RebootWindows(true);
end.[/code]
Логи не смотрел, извините. Давно пора домой...

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Хранит~1.scr','');
QuarantineFile('C:\WINDOWS\System32\diskmngr.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nv4_mini.sys','');
QuarantineFile('C:\WINDOWS\System32\nv4_disp.dll','');
QuarantineFile('C:\WINDOWS\System32\rsvp32_2.dll','');
QuarantineFile('C:\WINDOWS\system32\BBPDFPortMon.dll','');
DeleteFile('C:\WINDOWS\System32\rsvp32_2.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните ещё один скрипт [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
AutoFixSPI;
RebootWindows(true);
end.[/CODE]
Пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи virusinfo_syscure.zip и hijackthis.log., а также добавьте файл 'bclr.log' из папки AVZ.

P.S.: Пока писал скрипты сообщения от pig не было. Я логи смотрел, так что можете выполнять мои скрипты.

Чей скрипт выполняли и выполняли ли вообще?

Сначала выполнил скрипт pig. Потом , увидев ваши скрипты выполнил их - предварительно восстановив из карантина файл rsvp32_2.dll (ну чтобы он вошел в карантин вашего скрипта). Файлы выслал.

Со скриптами Вы баловались напрасно.
Файл удален. С Интернетом проблем нет? Судя по логам все нормально. Думаю что остальные файлы чистые, но лучше проверить ;)
Осталась ещё пара файлов, которые тоже можно проверить. Выполните ещё такой скрипт [CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\BBPDFPortMon.dll','');
QuarantineFile('C:\ARPR\keylogger.exe','');
end.[/CODE] То, что после выполнения скрипта попадет в каратин пришлите согласно правил.

из присланного -
C:\WINDOWS\System32\diskmngr.exe
C:\WINDOWS\System32\rsvp32_2.dll

Trojan.Spambot'ы (DrWeb)
Backdoor.Win32.Delf.axi, Trojan-Proxy.Win32.Agent.ly (KAV)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\diskmngr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файл 'bclr.log' из папки AVZ.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\diskmngr.exe - [B]Backdoor.Win32.Delf.axi[/B] (DrWEB: Trojan.Spambot)[*] c:\\windows\\system32\\rsvp32_2.dll - [B]Trojan-Proxy.Win32.Agent.ly[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]