Ramnit.A / Rmnet

Здравствуйте.
Подхватил вот такую заразу. Что она делает:
- регулярно создает на сменных носителях autorun.inf (даже пытается что-то записать на дискету при ее отсутствии в дисководе)
- портит exe и dll файлы (к счастью почти все лечатся)
- редактирует все подряд htm/html файлы (CureIt! их потом уничтожает)
- загрузка ЦП почти все время под 100%
- испортились некоторые функции браузера (Opera), полное удаление и повторная установка ничего не изменили
- при старте в процессах появляется exe от браузера (opera.exe, когда удалил - IEXPLORE.exe)
- не уверен, но вроде как svchost'ов после заражения стало на 1 больше

// банальное закрытие последних двух ни к чему не приводит

Уже третий день пытаюсь избавится от него... Сначала прошелся по всему NOD'ом - он расправился только с "последствиями", излечив зараженные файлы. Потом в безопасном режиме с отключеным восстановлением системы DrWeb'ом CureIt! - опять только лечение.
Также пытался искать в интернетах какую-либо информацию по избавлению от этой заразы - почти ничего, а что и было - заканчивалось переустановкой ОС, а мне этот вариант, увы, не подходит.

Больше всего мне понравилось пока вот [URL="http://forums.techarena.in/antivirus-software/1354606-2.htm"][B]это[/B][/URL], хоть там и нет решений проблемы, но есть подробная информация о самом вирусе (где он зарывается и т.п.).

Очень надеюсь на вашу помощь. :(

Здравствуйте.
Выполните скрипт в AVZ:
[CODE]
begin
QuarantineFile(GetAVZDirectory + 'avz.exe','');
QuarantineFile('c:\program files\microsoft\desktoplayer.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделал. Выслал.

Файловый вирус лучше всего лечить загрузившись с CD диска.
Свежий DrWeb LiveCD должен помочь [url]http://www.freedrweb.com/livecd[/url].
Сразу после лечения установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.

Распакуйте AVZ.exe заново из архива. Обновите базы AVZ.
Сделайте новые логи и приложите к этой теме.

LiveCD не помог. Т.е. он удалил только оставшиеся файлы вируса, реестр же вылечен не был.

Но тем не менее проблема почти решена. Осталось только два момента:
- создание левого процесса svchost.exe при запуске системы
- повисание браузеров при запуске и, пусть и довольно редкое, торможение их при работе

Логи прикрепил.

LiveCD помог, вируса больше нет.
Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из протокола AVZ и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Таки да, после еще одной перезагрузки все наладилось.
[QUOTE]Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.[/QUOTE]
Выполнил, но лога нет. Видимо потому что:
"Часто используемые уязвимости не обнаружены"

Всем спасибо за помощь! Проблема решена.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft\desktoplayer.exe - [B]Packed.Win32.Krap.ar[/B] ( DrWEB: Win32.Rmnet.1, BitDefender: Gen:Variant.Koobface.1, AVAST4: Win32:Malware-gen )[/LIST][/LIST]