нечто подобное выдал касперский-он-лайн, когда был исследован файл usa.exe
.
Printable View
нечто подобное выдал касперский-он-лайн, когда был исследован файл usa.exe
.
ой,случайно создал тему, еще не описав толком, что случилось... в общем удалил вроде несколько троянов после этого обновленным НОДом, но остались какие-то экзешники, мешающие жить.... один (adirka.exe) постоянно стремится в оперативку подгрузится, и рассылает всем по аське сообщение о вирусе... еще я вычислил как минимум 2 (pp.exe и via.exe)... удалял все 3 файла и информацию о них в реестре, но иногда с какого-то адреса в инете они снова приходят... антивирус их не ловит, а только предупреждает о попытке другого запустится(sm.exe)...
.
случайно получилось, а вот как отредактировать ссылку, не знаю... пусть модераторы это сделают, пожалуйста...
Свои сообщения можете редактировать как заблагорассудится. Только не злоупотребляйте.
AVZ -> файл -> выполнить скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\System32\Drivers\SPTD2717.SYS','');
QuarantineFile('C:\WINDOWS\system32\adirka.exe','');
QuarantineFile('c:\windows\bigcat~1.scr','');
ExecuteRepair(14);
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин, как описано в приложении 3 [url=http://virusinfo.info/showthread.php?t=1235]Правил.[/url]
скрипт выполнил, правда adirka.exe удалил ранее, почистив и записи в реестре, в след. раз вышлю и его... архив выслал...
и вот еще новые логи, так как есть подозрение, что может что-то еще осталось....
к этому сообщению прикрепилась ссылка, но уже другая...
У вас стоит прокси 10.0.12.180:3128 ?
Если нет, то пофиксить и HijackThis строку :R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.12.180:3128
Ещё пофиксите: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.APEHA.ru[/url] - это от пиратских игрушек.
Выполнить:
[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
QuarantineFile('C:\Program Files\OO Software\CleverCache\ooccmngr.dll','');
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин по правилам. Логи делать не нужно, если не просили, так как ничего не удаляли.
сделал.
[B]Email-Worm.Win32.Zhelatin[/B] (По Kaspersky)
[CODE]C:\WINDOWS\system32\rsvp32_2.dll
C:\WINDOWS\system32\adirka.exe[/CODE]
Файл C:\WINDOWS\system32\rsvp32_2.dll вредоносный, но рекомендовать его удалить не решаюсь. Слишком высока вероятность, что пропадет Интернет, если удалять и зачищать средствами AVZ. Можно попробовать сделать как в теме [url]http://virusinfo.info/showthread.php?t=8401[/url] советовал [B]Bratez[/B]:[quote]
[url]http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml[/url]
можно скачать программу Winsockfix (1,3 Mb) - попробуйте её.[/quote]
Я склонен то же самое посоветовать. Тема: [url]http://virusinfo.info/showthread.php?t=8401[/url]
Начните с поста #7.
спасибо... буду действовать....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\adirka.exe - [B]Email-Worm.Win32.Zhelatin.bv[/B] (DrWEB: Trojan.Packed.65)[*] c:\\windows\\system32\\rsvp32_2.dll - [B]Email-Worm.Win32.Zhelatin.al[/B] (DrWEB: Win32.Dref)[/LIST][/LIST]