Trojan.spambot

DrWeb обнаруживает вирус Trojan.spambot в файле rsvp32_2.dll, предлагает лечить, в статистике вирус значится как вылеченный...
после перезагрузки все по новой...
винда XP SP1, думаю проблема в этом...

вопрос к знающим, что лучше: снести и поставить заново (сразу SP2), или вылечить и обновлять до SP2?

поставить заново (сразу SP2) лучше ;)
Сейчас посмотрю что у вас. Погодите с перестановкой, может ценный экземпляр найдём;)

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('C:\WINDOWS\System32\syst4n0.dll','');
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\windev-2954-30dd.sys','');
QuarantineFile('C:\WINDOWS\System32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\System32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\svchоst.exe','');
QuarantineFile('C:\WINDOWS\r7537w32.dll','');
QuarantineFile('c:\windows\svchоst.exe','');
QuarantineFile('C:\Documents and Settings\Borodyanskaya.FRENDSHIP\Local Settings\Temporary Internet Files\OLKD\Торгово-парковочный комплекс (2).doc','');
QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\2350.exe','');
QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\6354.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]

svchist.exe , ext.exe должны где валяться - найдите: [url]http://virusinfo.info/showthread.php?t=4567[/url]

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10918[/url]
Классная коллекция ;)

P.s. В этом разделе те кто "не знающие" не смогут ответить. Проверить просто : зарегистрируйте аккаунт с другим ником и попробуйте ответить в этой теме ;-*)

Надо посмотреть, как говаривал один товарищ.
Есть вариант: вылечится и потом поставить СП2.

Если нужной и-ции мало, то можно и сразу "под нож".

файлы svchist.exe , ext.exe не находятся ни в avz ни проводником...
содержимое карантина прислал

[QUOTE='PavelA;121464']Есть вариант: вылечится и потом поставить СП2. [/QUOTE]вариант чуть хуже по моему. Даже если смотреть теоретически, винда уже работала, мусора в реестре завались да ещё с такой "коллекцией"- лучше переставить сразу с SP2 если есть возможность и находящейся информации на диске C не жалко...

ну так что, есть смысл лечить? информации на диске по большому счету не жалко...
просто если переустанавливать, то мне нужно начинать прямо сейчас, завтра с утра комп нужен уже в рабочем состоянии;)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('c:\windows\svchоst.exe');
DeleteFile('C:\WINDOWS\r7537w32.dll');
DeleteFile('C:\WINDOWS\System32\ovrscn.dll');
DeleteFile('C:\WINDOWS\System32\ovrscn.sys');
DeleteFile('C:\WINDOWS\System32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\windev-2954-30dd.sys');
DeleteFile('C:\WINDOWS\System32\syst4n0.dll');
DeleteFile('C:\WINDOWS\userinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [NeroFilterCheck] svchist.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll
O21 - SSODL: 601468 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: 433759 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: 576968 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)[/CODE]Повторите логи. Радмин сами ставили?

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL].

радмин поставили до меня, я им почти не пользуюсь
в инет выхожу с другова компа

сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин

[QUOTE='martin79;121503']радмин поставили до меня, я им почти не пользуюсь[/QUOTE]В таком случае удалите его.

[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
[QUOTE='Maxim;121504']сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин[/QUOTE]Не надо карантин присылать. Я ошибся. После этого скрипта в карантин ни чего не попадет.

ок, уберу его... правда в ограничениях там прописан только ip моего компа, вряд ли через него можно подключиться)

хм, только что заметил про логи... все логи высылать, как в начале темы?

[QUOTE='martin79;121508']хм, только что заметил про логи... все логи высылать, как в начале темы?[/QUOTE]Да. Как комп себя чувствует?

[quote=Maxim;121510]Да. Как комп себя чувствует?[/quote]
идет на поправку;)

не смог обнаружить в хайджеке этих строк...
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)


сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени) как все завершиться, вышлю логи

[QUOTE='martin79;121517']не смог обнаружить в хайджеке этих строк...[/QUOTE]Это хорошо.
[QUOTE='martin79;121517']сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени) [/QUOTE]А почему так долго?

долго, потому что он диск С: проверяет... может после чистки быстрее проверит?

[QUOTE='martin79;121522']может после чистки быстрее проверит?[/QUOTE]Посмотрим :)

проверка длилась даже больше, аж 55 минут...

[QUOTE='martin79;121541']проверка длилась даже больше, аж 55 минут...[/QUOTE]У Вас архивов много. Целых 118666 :) AVZ их распаковывал и проверял.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrSvc('Microsoft security update service');
BC_QrSvc('MS Internet Countermeasures Framework2b');
BC_QrFile('C:\WINDOWS\system32\qz.sys');
BC_QrFile('c:\windows\system32\msvcrtd.exe');
BC_QrFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
BC_DeleteSvc('Microsoft security update service');
BC_DeleteSvc('MS Internet Countermeasures Framework2b');
BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

снова все три лога?

[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
карантин выслал

[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
время позднее, логи будут завтра утром

Ок. Как самочувствие компьютера?

с утра не получилось, отправляю сейчас три лога

[QUOTE='Maxim;121555']Ок. Как самочувствие компьютера?[/QUOTE]
самочувствие отличное) но пара подозрительных файлов в avz еще виднеется... хотя комп работает нормально) правда я еще не поставил SP2, займусь этим сегодня вечером

в любом случае, спасибо за помощь!

[size="1"][color="#666686"][B]Добавлено через 2 часа 55 минут[/B][/color][/size]
еще какие-нибудь советы по моему случаю будут? логи, как меня и просили, я выслал, они лежат в последнем сообщении на 1 странице

1.Если система лицензионная, то установить SP2 + заплатки, вышедшие после него.

2. Директорию C:\Documents and Settings\sohina\Local Settings\Temp - почистить.

3.ICQLite - это есть на компьютере? Если нет, профиксить:
[CODE]O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
[/CODE]

4.в AVZ выполнить скрипт:
[CODE]
begin
DeleteService('FCI', true);
DeleteService('msupdate', true);
end.
[/CODE]

5. Прислать новые логи.

SP2 упрямо не хочет ставиться... пытался ставить и для русской и для английской версии... винда не лицензионная, поэтому автоматическое обновление не катит... видимо все же придется ставить систему с нуля)

но логи все же сделал) надо же добить этот вирусняк

К сожалению, два сервиса не удалились.
Пойдем другим путем:
Загружаемся в безопасном режиме и повторяем скрипт.
[CODE]begin
ClearHostsFile;
DeleteService('FCI', false);
DeleteService('msupdate', false);
end.[/CODE]
Если не пройдет, то Пуск - Выполнить - cmd - нажать "Ок" --
sc delete 'FCI', затем sc delete 'msupdate'

плюс вот этого еще удалите C:\Documents and Settings\Borodyanskaya.FRENDSHIP\Local Settings\Temporary Internet Files\OLKD\Торгово-парковочный комплекс (2).doc

так, поставил SP2, только теперь он упрямо не желает видеть сетевую карту... сетевуха интегрированная, дрова к ней родные (с диска к материнке)...
в диспетчере устройств - устройство отключено (код 22), при попытке включить начинает искать к нему дрова, находит и... заявляет, что устройство отключено (код 22) и поэтому дрова установлены быть не могут... вирус это или нет х.з. к видеокарте тоже тоже дрова не ставит (единственный поддерживаемый режим 640х480, цвет 4 бита)...
материнка Intel Desktop Board D845 GVSR... понимаю, что офтоп, но может кто подскажет в чем дело?

Может, для начала драйвера чипсета переставить?

уже разобрался)
дрова для чипсета ставил (с родного для материнки диска), а вот сетевуха...
в общем, скачал новую версию дров для видюхи и сетевухи, все заработало) дрова для чипсета переустанавливать не пришлось

p.s. всем спасибо за помощь в лечении вирусов)

Сделайте ещё раз лог hijackthis.

лог хайджека

Попробуй удалить сервисы, как я писал командой "sc".
Что-то AVZ их не может удалить.
Плюс, вот эти строчки профиксить:

O20 - Winlogon Notify: origami - C:\WINDOWS\System32\alcnt.dll (file missing)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)

значит так:
указанные строчки в хайджеке пофиксил, а при попытке выполнить команды
sc delete 'FCI'
sc delete 'msupdate'

выдает сообщение:
[SC] OpenService Failed 1060:
The specified service does not exist as an installed service

То ли он уже удален, то ли не виден...

в AVZ - Сервис -- Диспетчер служб и драйверов -- вверху выбрать "службы", "Все" ,поискать этих двух голубчиков. Если найдутся, то вверху нажать крестик.
Делать это надо в защищенном режиме.

защищенный режим имеется в виду safe mode, или что-то другое?

нашлись оба сервиса, во вкладке по анализу реестра...
msupdate удалился сразу, а FCI не удаляется ни в обычном режиме, ни в safe mode...

[QUOTE='martin79;122068']защищенный режим имеется в виду safe mode, или что-то другое?[/QUOTE] Да, это оно.

даже в safe mode при попытке удаления FCI выдается сообщение, что сервис опознан как системный и удален быть не может...

O23 - Service: MS Internet Countermeasures Framework2b (FCI) - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe (file missing)

можно попробовать просто профиксить в HijackThis

удалил через хайджек)
перед этим в управлении службами отключил его (вместо типа запуска [B]Авто[/B] поставил [B]Отключить[/B]), потом удалил FCI как службу NT в хайджеке

Ну думаю, на этом можно и закончить.

Чистого вам, Интернета!

Давайте повторный лог HijackThis для контроля.

лог хайджека