Проблема с непонятным текстом в любом web-браузере

[Bugloff]

Всем привет!

При отправке сообщений в форумах или писем на майле.ру в теле письма появляется вот такой текст

сегодня 9мая,более полувека назад наши деды отдали свою кровь за победу над фашистами,
так помянём их с честью,покажем место зарвавшейся эстонии,всё правительство надо сжечь как сжигали евреев эссесовцы,ддос атака и дефейс многих эстонских сайтов организовывает Cyber Antiesstonian Community,мы те кто управляет сетью,мы короли сети..мы нигде и везде,мы не те ботаны очкарики,скорее те отмывает буржуское бабло и ездит на бехах 7 серии%))
вообще видно то что это галимая провакация затеянная usa и ихнем нато
Мы идём в первых рядах против обманчивых принципов ложной демократии навязанной америкой,которая стремитьса засунуть свою руку в дела каждой страны, солдаты которой ведут захватнические войны, по всему миру, и воюют они не за демократию как об этом трезвонят американская пропагандисткая машина, а за выгоды совершенно материальные. Эта двойная морали американцев показывает истинное лицо америки,которая одну руку тянет для рукопожатие, а другой отрубает твою руку, которую ты протянул.
Многие здесь заслужили награды и ордена,но нам они не нужны, нам гораздо приятние созновать что мы складываем кирпичики в здание склепа в котором будет покоитьса америка.
Поэтому господа дай бог нам больших успехов в нашем светлом деле..
[URL]

Все разделы помощи прошёл. Всё равно эта ерунда продолжается. Что это может быть?

[Muzzle]

Логи по правилам пожалуйста.

[DVi]

Прочтите и выполните правила: http://virusinfo.info/showthread.php?t=1235

P.S. ALF с форума http://forum.spnet.ru/showthread.php?t=25266&page=6 - это не вы?

[Bugloff]

Прочтите и выполните правила: http://virusinfo.info/showthread.php?t=1235

P.S. ALF с форума http://forum.spnet.ru/showthread.php?t=25266&page=6 - это не вы?

Прошу прощения, логи не выложил.
В понедельник отправлю логи, если админы не успеют к тому времени убить Винду.

ALF - это не я. Но теперь понятно, что это какой-то вирус. Буду очень признателен за помощь, т.к. вчера вечером выковырять эту дрянь не удалось

[Bugloff]

Добавил логи к первому сообщению. Файлы отправлены.

[drongo]

.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SOUNDMAN.EXE','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\System32\rsvp322.dll','');
 QuarantineFile('C:\Documents and Settings\bt\Application Data\Microsoft\Installer\{738179D8-3D76-4AFF-A7BE-AEF3B4370CB4}\ARPPRODUCTICON.exe','');

QuarantineFile('C:\WINDOWS\Installer\12b8d8.msi','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\12520437n.exe',''); 
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.

boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10861

Скачайте пока программу из http://virusinfo.info/showthread.php?t=10267, может понадобиться

[Bugloff]

Скрипт выполнил, лог прикрепил.
Файл выложил, прогу скачал.

Жду

[drongo]

rsvp322.dll- свеженькая штучка, вот смотрите: http://virusinfo.info/showpost.php?p...&postcount=202
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\rsvp322.dll');
 DeleteService('AppMgmtCOMSysApp', true);
 ExecuteRepair(14);
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

Если интернет вдруг пропадёт после лечения (вероятность ~ 1 процент) Запустите ту утилиту , что скачали и следуйте инструкциям.
насчёт F:\autorun.inf - скорее всего от игрушки, нa всякий случай можно поискать файлик AUTOPLAY.EXE , запаковать в zip с паролем virus и прислать по ссылке в шапке.
Насчёт остальных, вроде чистые, скоро придёт ответ от лаба касперского- узнаем наверняка.

[Bugloff]

ндааа... где ж я ухитрился...

спасибо большое

[drongo]

Помогло ? Новые логи в студию после лечения

[Bugloff]

как их выложить? ругаеццо на то, что такие файлы уже есть.
старые файлы можно удалить из первого сообщения?

[drongo]

ну удалите старые

[Bugloff]

сделано
ещё раз большое спасибо

[drongo]

А остальные 2 ? Только один новый вверху .

[Bugloff]

А остальные 2 ? Только один новый вверху .

ещё раз поменял

[drongo]

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing

2.Отключить не нужные сервисы . начните c "нет-митинг" и" удалённый стол"
3.Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

Удачи!

[Bugloff]

Эту строку отфиксил ещё вчера

Сегодня пофиксил ещё одну

O23 - Service: Управление приложениями AppMgmtCOMSysApp (AppMgmtCOMSysApp) - Unknown owner - C:\WINDOWS\system32\12520437n.exe (file missing)

надо ли пофиксить вот эту строку?

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DL L

Firefox уже скачал и установил просто перешёл на новую работу, а тут на компе такой рассадник счастья...
Юзера создал, буду работать из-под него.
Отключил кучу remote services и удалённое управление реестром до кучи

Ещё раз большое спасибо

[Muzzle]

надо ли пофиксить вот эту строку?
Цитата:
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DL L

нет,её фиксить не нужно.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 98
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rsvp322.dll - Trojan-Spy.Win32.BZub.bm (DrWEB: Trojan.Spambot.2369)