Здравствуйте друзья. Вы мне уже помогли один раз с подобными проблемами, страница браузера перенаправлялась, поэтому буду рад помощи ещё раз. Вчера заметил, что стал жутко уползать траффик, у меня выделенная сеть. Просмотрел системную папку, несколько непонятных файлов послал на проверку Касперскому, нашёлся заражённый файл winsrs.exe-заражен Win32.HLLW.MyBot. Удалил его. Но неожиданно курсор мыши стал вести себя, как будто программа запускается, то есть курсор стал двойным, стрелкой и песочными часами, одним словом этот файл снова появился. Просканировал антивирами, drweb-cureit, ad-aware, spybot-search,avz. Только drweb-sureit точно определил заразу, удалил, avz обнаружил процесс, как подозрительный. Удалил, почистил регистр программкой regsearch и regedit. Нашлось несколько ключей, всё подчистил, но ненадолго. Иногда возникает этот файл сразу после удаления, иногда чуть позде, через 20-30 минут. Я уже и сетефой шнур выдернул из сетевой карты.И когда этот файл появляется, то невозможно запустить Msconfig и Regedit, на долю секунду запускается внешний вид и пропадает, как и окно командной строки. Сделал все процедуры, которые вы описали, в безопасном режиме с отключением восстановления системы и так далее. Вот похоже и всё, буду рад помощи. Спасибо Файл winsrs.exe выслал с паролем.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
И когда этот файл появляется, то невозможно запустить Msconfig и Regedit, на долю секунду запускается внешний вид и пропадает, как и окно командной строки. Сделал все процедуры, которые вы описали, в безопасном режиме с отключением восстановления системы и так далее.
пришлите (если он есть) файл c:\windows\system32\drivers\etc\hosts
файл c:\windows\system32\winsrs.exe спокойно стирайте
в реестре удалите все упоминания о файле winsrs.exe
p.s. чтобы запускались msconfig и regedit - переименуйте их в 1.exe и запускайте
Вы бы встроенный в XP файрвол активировали, если неродной ставить не хотите. А лучше ещё и Service Pack 2 поставить плюс все дополнительные заплатки. А то так и будут гады через дыры пролезать.
Имя зверя не по Касперскому, а по Dr.Web, так, что ли? Что-то я в энциклопедии такого не нахожу. То есть, море всего, но именно по классификации Dr.Web. А по этой классификации HLLW - самоходный червь, лазающий именно через дыры в системе (причём MyBot вроде бы через обе широко известные дыры распространяется - через RPC и через LSASS).
пришлите (если он есть) файл c:\windows\system32\drivers\etc\hosts
файл c:\windows\system32\winsrs.exe спокойно стирайте
в реестре удалите все упоминания о файле winsrs.exe
p.s. чтобы запускались msconfig и regedit - переименуйте их в 1.exe и запускайте
Спасибо за ответ. Файл выслал. В реестре удаляю все ключи и упоминания об этом файле, всё равно возникают...Что то сегодня пока тихо...Вот уже час как в сети, а winsrs.exe не возникает, такое впечатление, что запуск его происходит с удалённого компьютера...
Имя зверя не по Касперскому, а по Dr.Web, так, что ли? Что-то я в энциклопедии такого не нахожу. То есть, море всего, но именно по классификации Dr.Web. А по этой классификации HLLW - самоходный червь, лазающий именно через дыры в системе (причём MyBot вроде бы через обе широко известные дыры распространяется - через RPC и через LSASS).
Спасибо за ответ. Файрвол активировал. Извините, сам запутался...Первоначально, когда послал файл на сканер Касперскому, вирус был опознан как Backdoor.Win32.Rbot.aly, затем при сканированиее диска drweb-sureit, зверь был опознан, как Win32.HLLW.MyBot. Пока как будто тихо, но ночью возникал winsrs.exe после удаления очень быстро
Спасибо всем за ответ. Файл hosts выслал ещё раз в архиве с паролем virus, недавно пришёл домой, пока как будто всё Ок, но не верю, что надолго. Проверил программой regsearch Олега Зайцева, ключей и путей winsrs.exe не нашей в реестре. Процесс NetMeeting Remote Desktop Sharing выключил. Логи переслал, в учётных записях администратора насколько я помню паролей не ставил никогда. Необходимо поставить?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: