Проблема, буду рад помощи

[gartu]

Здравствуйте друзья. Вы мне уже помогли один раз с подобными проблемами, страница браузера перенаправлялась, поэтому буду рад помощи ещё раз. Вчера заметил, что стал жутко уползать траффик, у меня выделенная сеть. Просмотрел системную папку, несколько непонятных файлов послал на проверку Касперскому, нашёлся заражённый файл winsrs.exe-заражен Win32.HLLW.MyBot. Удалил его. Но неожиданно курсор мыши стал вести себя, как будто программа запускается, то есть курсор стал двойным, стрелкой и песочными часами, одним словом этот файл снова появился. Просканировал антивирами, drweb-cureit, ad-aware, spybot-search,avz. Только drweb-sureit точно определил заразу, удалил, avz обнаружил процесс, как подозрительный. Удалил, почистил регистр программкой regsearch и regedit. Нашлось несколько ключей, всё подчистил, но ненадолго. Иногда возникает этот файл сразу после удаления, иногда чуть позде, через 20-30 минут. Я уже и сетефой шнур выдернул из сетевой карты.И когда этот файл появляется, то невозможно запустить Msconfig и Regedit, на долю секунду запускается внешний вид и пропадает, как и окно командной строки. Сделал все процедуры, которые вы описали, в безопасном режиме с отключением восстановления системы и так далее. Вот похоже и всё, буду рад помощи. Спасибо
Файл winsrs.exe выслал с паролем.

[MOCT]

И когда этот файл появляется, то невозможно запустить Msconfig и Regedit, на долю секунду запускается внешний вид и пропадает, как и окно командной строки. Сделал все процедуры, которые вы описали, в безопасном режиме с отключением восстановления системы и так далее.

пришлите (если он есть) файл c:\windows\system32\drivers\etc\hosts
файл c:\windows\system32\winsrs.exe спокойно стирайте
в реестре удалите все упоминания о файле winsrs.exe

p.s. чтобы запускались msconfig и regedit - переименуйте их в 1.exe и запускайте

[pig]

Вы бы встроенный в XP файрвол активировали, если неродной ставить не хотите. А лучше ещё и Service Pack 2 поставить плюс все дополнительные заплатки. А то так и будут гады через дыры пролезать.

Имя зверя не по Касперскому, а по Dr.Web, так, что ли? Что-то я в энциклопедии такого не нахожу. То есть, море всего, но именно по классификации Dr.Web. А по этой классификации HLLW - самоходный червь, лазающий именно через дыры в системе (причём MyBot вроде бы через обе широко известные дыры распространяется - через RPC и через LSASS).

[gartu]

пришлите (если он есть) файл c:\windows\system32\drivers\etc\hosts
файл c:\windows\system32\winsrs.exe спокойно стирайте
в реестре удалите все упоминания о файле winsrs.exe

p.s. чтобы запускались msconfig и regedit - переименуйте их в 1.exe и запускайте

Спасибо за ответ. Файл выслал. В реестре удаляю все ключи и упоминания об этом файле, всё равно возникают...Что то сегодня пока тихо...Вот уже час как в сети, а winsrs.exe не возникает, такое впечатление, что запуск его происходит с удалённого компьютера...

[gartu]

Имя зверя не по Касперскому, а по Dr.Web, так, что ли? Что-то я в энциклопедии такого не нахожу. То есть, море всего, но именно по классификации Dr.Web. А по этой классификации HLLW - самоходный червь, лазающий именно через дыры в системе (причём MyBot вроде бы через обе широко известные дыры распространяется - через RPC и через LSASS).

Спасибо за ответ. Файрвол активировал. Извините, сам запутался...Первоначально, когда послал файл на сканер Касперскому, вирус был опознан как Backdoor.Win32.Rbot.aly, затем при сканированиее диска drweb-sureit, зверь был опознан, как Win32.HLLW.MyBot. Пока как будто тихо, но ночью возникал winsrs.exe после удаления очень быстро

[MOCT]

Спасибо за ответ. Файл выслал.

файл hosts пока не дошел (может без пароля выслали?).

В реестре удаляю все ключи и упоминания об этом файле, всё равно возникают...Что то сегодня пока тихо...

т.е. получается, что записи в реестре возникают, а сам файл не возникает?
сделайте пожалуйста логи HJT и AVZ в обычном режиме с запущенным IE.

[Geser]

Вот это:
Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr)
NetMeeting Remote Desktop Sharing (mnmsrvc)
Лучше выключить.

И проверить что на всех учётных запислах администратора стоят не тривиальные пароли

[gartu]

Спасибо всем за ответ. Файл hosts выслал ещё раз в архиве с паролем virus, недавно пришёл домой, пока как будто всё Ок, но не верю, что надолго. Проверил программой regsearch Олега Зайцева, ключей и путей winsrs.exe не нашей в реестре. Процесс NetMeeting Remote Desktop Sharing выключил. Логи переслал, в учётных записях администратора насколько я помню паролей не ставил никогда. Необходимо поставить?

[Geser]

в учётных записях администратора насколько я помню паролей не ставил никогда. Необходимо поставить?

Обязательно нужно http://virusinfo.info/showthread.php?t=4277

[MOCT]

файл hosts (который присылали на почту) во-первых поврежден, во-вторых - заражен. так что смело удаляйте.

[gartu]

Спасибо большое всем за помощь. Всё уладил