-
kps: IceSword - ошибка при разархивировании.
Рекомендации:
"Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом [i]был таки защищен AVG75 со всеми updates, но он умер без вести [/i] и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
Перезагрузить компьютер в безопасном режиме (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт Safe Mode в меню загрузки Windows).
[i]вместо безопасного режима - синий экран смерти[/i]
При помощи «Диспетчера задач» завершить троянский процесс (возможное имя процесса — «hidr.exe»).
[i]в нормальном режиме не убивается этот просецц, а в safe mode меня не пускают[/i]
Удалить файлы:
%System%\drivers\srosa.sys
%System%\drivers\hidr.exe
[i]'эти файлы удаляются только при загрузке с CD, но при нормальной загрузке появляются снова[/i]
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить параметр из ключа системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" = "%System%\drivers\hidr.exe"
Удалить ключ реестра:
[HKCU\Software\FirstRRRun]
Удалить следующую папку со всем ее содержимым:
%WinDir%\exefqd
[i]regedit показывает, что нет такой буквы, но утилита XoftSpySE (единственная фигня, которую мне удалось запустить) обнаруживает:
Bagle IX Worm Registry Key software\firstrun
Downloader Bagle GI Trojan Registry Key software\microsoft\windows\currentversion\run\german.exe
За лечение просят 69$
Но тот же regedit не видит этих ключей. [/i]
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
[i]скачал, не запускается[/i]
-
Скачайте CureIt! (ссылка в правилах) на чистой машине. Распакуйте cureit.exe - это обычный SFX-архив. Запишите на болванку. С болванки запустите _start.exe.
-
kps: спасибо, завтра, как найду чистую машину - попробую.
А в сети творится фашизм:(
C:\Documents and Settings\anton>netstat -bv
Активные подключения
Имя Локальный адрес Внешний адрес Состояние PID
TCP 1c757cf6a461442:1890 mx-filter-2.online.net:smtp SYN_SENT 37
0
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1905 anon.lcs.mit.edu:smtp SYN_SENT 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1906 211.154.45.116:smtp SYN_SENT 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1275 mercas02.na.sas.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1355 gbo248a.gillette.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1363 mail.bhmgolf.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1398 po-in-f27.google.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1516 mail.e-registernow.com:smtp ESTABLISHED 37
0
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1599 209.82.103.61:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1620 mail5.integral.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1648 richmondcc.edu:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1689 mx00.t-online.de:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1753 mx2002.mx2.got.net:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1757 s6a1.psmtp.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1762 [url]www.napalink.net:smtp[/url] ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1775 sagw01.fsi.ne.jp:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1779 mail.kcc.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1814 mx236.terra.cl:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1824 mta1-a.rog.level3.mail.vip.re2.yahoo.com:smtp
STABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1835 mxlibero2.libero.it:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1863 e2.member.vip.scd.yahoo.com:https ESTABLISHED
3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
----output omitted---
Page generated in 0.01358 seconds with 10 queries