нечто подобное выдал касперский-он-лайн, когда был исследован файл usa.exe
.
нечто подобное выдал касперский-он-лайн, когда был исследован файл usa.exe
.
Последний раз редактировалось Shu_b; 21.03.2007 в 20:16.
ой,случайно создал тему, еще не описав толком, что случилось... в общем удалил вроде несколько троянов после этого обновленным НОДом, но остались какие-то экзешники, мешающие жить.... один (adirka.exe) постоянно стремится в оперативку подгрузится, и рассылает всем по аське сообщение о вирусе... еще я вычислил как минимум 2 (pp.exe и via.exe)... удалял все 3 файла и информацию о них в реестре, но иногда с какого-то адреса в инете они снова приходят... антивирус их не ловит, а только предупреждает о попытке другого запустится(sm.exe)...
.
случайно получилось, а вот как отредактировать ссылку, не знаю... пусть модераторы это сделают, пожалуйста...
Свои сообщения можете редактировать как заблагорассудится. Только не злоупотребляйте.
AVZ -> файл -> выполнить скрипт
После перезагрузки пришлите карантин, как описано в приложении 3 Правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\WINDOWS\System32\Drivers\SPTD2717.SYS',''); QuarantineFile('C:\WINDOWS\system32\adirka.exe',''); QuarantineFile('c:\windows\bigcat~1.scr',''); ExecuteRepair(14); RebootWindows(true); end.
скрипт выполнил, правда adirka.exe удалил ранее, почистив и записи в реестре, в след. раз вышлю и его... архив выслал...
и вот еще новые логи, так как есть подозрение, что может что-то еще осталось....
к этому сообщению прикрепилась ссылка, но уже другая...
У вас стоит прокси 10.0.12.180:3128 ?
Если нет, то пофиксить и HijackThis строку :R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.0.12.180:3128
Ещё пофиксите: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru - это от пиратских игрушек.
Выполнить:
После перезагрузки пришлите карантин по правилам. Логи делать не нужно, если не просили, так как ничего не удаляли.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll',''); QuarantineFile('C:\Program Files\OO Software\CleverCache\ooccmngr.dll',''); RebootWindows(true); end.
сделал.
Email-Worm.Win32.Zhelatin (По Kaspersky)
Код:C:\WINDOWS\system32\rsvp32_2.dll C:\WINDOWS\system32\adirka.exe
Файл C:\WINDOWS\system32\rsvp32_2.dll вредоносный, но рекомендовать его удалить не решаюсь. Слишком высока вероятность, что пропадет Интернет, если удалять и зачищать средствами AVZ. Можно попробовать сделать как в теме http://virusinfo.info/showthread.php?t=8401 советовал Bratez:http://www.softpedia.com/get/Tweak/N...nSockFix.shtml
можно скачать программу Winsockfix (1,3 Mb) - попробуйте её.
Я склонен то же самое посоветовать. Тема: http://virusinfo.info/showthread.php?t=8401
Начните с поста #7.
спасибо... буду действовать....
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\adirka.exe - Email-Worm.Win32.Zhelatin.bv (DrWEB: Trojan.Packed.65)
- c:\\windows\\system32\\rsvp32_2.dll - Email-Worm.Win32.Zhelatin.al (DrWEB: Win32.Dref)
Уважаемый(ая) blackswan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.