достал rsvp322

Прошу прощения, не вложил файлы.
Обнаруживается rsvp322. кушает исходящий трафик, удаляю, не работает ни сетевое окружение, ни броузер , ни почта. Восстанавливаю обратно - все нормально. Как его побороть?

[b]Программу [url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url] нужно скачать заранее(а также запишите настройки сети,так как они будут сброшены)так-как после удаления компонента rsvp322.dll интернет может не работать....[/b]
файл - выполнить скрипт (скопируйте и нажмите запустить-компьютер перегрузится)
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\Setup.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\SSHDRV61.sys','');
QuarantineFile('C:\WINDOWS\System32\rsvp322.dll','');
DeleteFile('C:\WINDOWS\System32\rsvp322.dll');
BC_DeleteSvc('msupdate');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
AutoFixSPI;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил

Скрипт выполнил, [U][COLOR=#22229c][B]WinsockXPFix.exe[/B][/COLOR][/U] не помогает, так что сети теперь нет, шлю карантин с другого компьютера.

[QUOTE=aniglen;135553]Скрипт выполнил, [U][COLOR=#22229c][B]WinsockXPFix.exe[/B][/COLOR][/U] не помогает, так что сети теперь нет, шлю карантин с другого компьютера.[/QUOTE]
вы ввели заново настройки сети ?....

Да, конечно, я все поставил как было, но ни пинги не проходят, ничего.

Попробуй скормить такую сыворотку больному ;)
[code]
begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(18);
RebootWindows(true);
end.[/code]

выполнил я его, нет реакции никакой. Раньше после восстановления(другой программой SuperAntyspy) rsvp сеть оживала, а тут после выполнения первого скрита уж пробовал восстановить обратно из карантина, не помогло. Сделал опять все по новой. Жду вот. А сносить все как-то не хочется.

даавйте новые логи ... зверь известный проблем быть не должно ...

Отправляю новые логи.

Что такое диск "Е"? Setup.exe с него в карантин не попал.
Больше ничего не вижу плохого/подозрительного в логах.

а я теперь сам в недоумении, у меня нет диска E :? , ношусь с флешкой, но она идет как диск F и setup.exe там нет.

Профиксить в HijackThis:
O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe

пофиксил, ничего не изменилось:embarasse

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

для информации - Dumetrом видно, что что-то комп принимает - в свойствах подключения принято 64 байт, отправлено 0.

установлен NetworkShield Firewall ... там большое количество настроек ...
механизмы восстановления и прочее ... там все в порядке ...?

Ну вот:D Снес я его! Понаставил всякого из-за этой дряни. Все так все оказалось просто. И как у Вас терпения хватает ?.... Спасибо большое за помощь! Большой респект V_Bond ! PavelA ! drongo. Благодарности отправляю. Удачи!

В принципе, можно попробовать этот файрвол обратно поставить. Как правило, такими танцами лечится.

А сделайте логи сейчас, без файрвола. Интересно, никаких ошибок в LSP не вылезет?

Я вспомнил, что его и раньше ставил. Без каких либо настроек с ним сеть не работала.

Это без файрвола? Ошибок в LSP не видно.

Да, без него, сейчас все нормально работает.

Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\rsvp322.dll - [B]Email-Worm.Win32.Zhelatin.gl[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]