Junior Member
Вес репутации
62
Trojan.spambot
DrWeb обнаруживает вирус Trojan.spambot в файле rsvp32_2.dll, предлагает лечить, в статистике вирус значится как вылеченный...
после перезагрузки все по новой...
винда XP SP1, думаю проблема в этом...
вопрос к знающим, что лучше: снести и поставить заново (сразу SP2), или вылечить и обновлять до SP2?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
поставить заново (сразу SP2) лучше
Сейчас посмотрю что у вас. Погодите с перестановкой, может ценный экземпляр найдём
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('C:\WINDOWS\System32\syst4n0.dll','');
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\windev-2954-30dd.sys','');
QuarantineFile('C:\WINDOWS\System32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\System32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\svchоst.exe','');
QuarantineFile('C:\WINDOWS\r7537w32.dll','');
QuarantineFile('c:\windows\svchоst.exe','');
QuarantineFile('C:\Documents and Settings\Borodyanskaya.FRENDSHIP\Local Settings\Temporary Internet Files\OLKD\Торгово-парковочный комплекс (2).doc','');
QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\2350.exe','');
QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\6354.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
svchist.exe , ext.exe должны где валяться - найдите: http://virusinfo.info/showthread.php?t=4567
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10918
Классная коллекция
P.s. В этом разделе те кто "не знающие" не смогут ответить. Проверить просто : зарегистрируйте аккаунт с другим ником и попробуйте ответить в этой теме ;-*)
Последний раз редактировалось drongo; 09.07.2007 в 18:57 .
Надо посмотреть, как говаривал один товарищ.
Есть вариант: вылечится и потом поставить СП2.
Если нужной и-ции мало, то можно и сразу "под нож".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
файлы svchist.exe , ext.exe не находятся ни в avz ни проводником...
содержимое карантина прислал
Сообщение от
PavelA
Есть вариант: вылечится и потом поставить СП2.
вариант чуть хуже по моему. Даже если смотреть теоретически, винда уже работала, мусора в реестре завались да ещё с такой "коллекцией"- лучше переставить сразу с SP2 если есть возможность и находящейся информации на диске C не жалко...
Junior Member
Вес репутации
62
ну так что, есть смысл лечить? информации на диске по большому счету не жалко...
просто если переустанавливать, то мне нужно начинать прямо сейчас, завтра с утра комп нужен уже в рабочем состоянии
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('c:\windows\svchоst.exe');
DeleteFile('C:\WINDOWS\r7537w32.dll');
DeleteFile('C:\WINDOWS\System32\ovrscn.dll');
DeleteFile('C:\WINDOWS\System32\ovrscn.sys');
DeleteFile('C:\WINDOWS\System32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\windev-2954-30dd.sys');
DeleteFile('C:\WINDOWS\System32\syst4n0.dll');
DeleteFile('C:\WINDOWS\userinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [NeroFilterCheck] svchist.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll
O21 - SSODL: 601468 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: 433759 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: 576968 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)
Повторите логи. Радмин сами ставили?
Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix .
Последний раз редактировалось Макcим; 09.07.2007 в 20:32 .
Junior Member
Вес репутации
62
радмин поставили до меня, я им почти не пользуюсь
в инет выхожу с другова компа
сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин
Сообщение от
martin79
радмин поставили до меня, я им почти не пользуюсь
В таком случае удалите его.
Добавлено через 3 минуты
Сообщение от
Maxim
сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин
Не надо карантин присылать. Я ошибся. После этого скрипта в карантин ни чего не попадет.
Последний раз редактировалось Макcим; 09.07.2007 в 20:32 .
Причина: Добавлено сообщение
Junior Member
Вес репутации
62
ок, уберу его... правда в ограничениях там прописан только ip моего компа, вряд ли через него можно подключиться)
хм, только что заметил про логи... все логи высылать, как в начале темы?
Сообщение от
martin79
хм, только что заметил про логи... все логи высылать, как в начале темы?
Да. Как комп себя чувствует?
Junior Member
Вес репутации
62
Сообщение от
Maxim
Да. Как комп себя чувствует?
идет на поправку
не смог обнаружить в хайджеке этих строк...
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)
сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени) как все завершиться, вышлю логи
Сообщение от
martin79
не смог обнаружить в хайджеке этих строк...
Это хорошо.
Сообщение от
martin79
сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени)
А почему так долго?
Junior Member
Вес репутации
62
долго, потому что он диск С: проверяет... может после чистки быстрее проверит?
Сообщение от
martin79
может после чистки быстрее проверит?
Посмотрим
Junior Member
Вес репутации
62
проверка длилась даже больше, аж 55 минут...
Вложения
Сообщение от
martin79
проверка длилась даже больше, аж 55 минут...
У Вас архивов много. Целых 118666 AVZ их распаковывал и проверял.
Выполните скрипт в AVZ
Код:
begin
ClearQuarantine;
BC_QrSvc('Microsoft security update service');
BC_QrSvc('MS Internet Countermeasures Framework2b');
BC_QrFile('C:\WINDOWS\system32\qz.sys');
BC_QrFile('c:\windows\system32\msvcrtd.exe');
BC_QrFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
BC_DeleteSvc('Microsoft security update service');
BC_DeleteSvc('MS Internet Countermeasures Framework2b');
BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
BC_Activate;
RebootWindows(true);
end.
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
Junior Member
Вес репутации
62
снова все три лога?
Добавлено через 2 минуты
карантин выслал
Добавлено через 5 минут
время позднее, логи будут завтра утром
Последний раз редактировалось martin79; 09.07.2007 в 23:02 .
Причина: Добавлено сообщение
Ок. Как самочувствие компьютера?
Junior Member
Вес репутации
62
с утра не получилось, отправляю сейчас три лога
Вложения