Описание вируса и как с ним бороться

Когда мы заходим на сайт, нам через ошибку броузера (или еще как-то)
пихается такой файл upnp.exe
Он прописывается в реестр в раздел программ, загружающихся вместе с Вашим
компьютером.
Эта программа - скачиватель основной части трояна. Она загружает с определенных
сайтов разные файлы.

Данный троян - прокси сервер, используется для того, чтобы другой человек мог производить различные действия от Вашего IP-адреса. Например, рассылать спам.
Также сожержит возможность загружать на Ваш компьютер другие программы и запускать.

В результате в папке C:\windows\system32 появляются следующие файлы:
unpn.exe
rsvp32_2.dll - сам троян
sporder.dll
trj35_1.tmp
trj35_2.tmp
uin.txt - сюда записываются все UIN ICQ
adv.txt - текст сообщения для отправки по ICQ

Эти файлы нужно удалить. Обычно они обнаруживаются, когда уже загружены системой и
используются ей, и удалить их просто нажав Del не получится.
Как удалить:

Сделайте это антивирусом. Обычно есть такая возможность у большинства антивирусов,
когда какой-то файл можно пометить как "нехороший", и он будет удален после
перезагрузки, еще до загрузки операционной системы.
ИЛИ
Перезагрузитесь, и перед загрузкой операционной системы нажмите F8. Выберите
из списка загрузку в SafeMode (Безопасный режим). Эти файлы можно будет спокойно удалить.
ИЛИ
Перезагрузитесь с загрузочной дискеты, и удалите через DOS.

Но это еще не все. Дело в том, что rsvp32_2.dll прописывается в реестре как
поставщик услуг интернета, и после его удаления сеть не будет работать или будет работать с ошибками.
Переустановка операционной системы не поможет, поскольку эти параметры сохраняются.
Нам нужно самостоятельно отредактировать некоторые вещи в реестре.

Нажмите "Пуск" -> Выполинть. Введте regedit
Загрузится редактор реестра.
Откройте ветвь реестра
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.
В каждом из этих разделов есть параметр PackedCatalogItem
Вот он то нас и интересует. Открываем.
Появляется окно "Редактирования двоичного параметра"
В самом начале содержимого должна быть примерно такая строка
%SystemRoot%\system32\mswsock.dll
Это путь к необходимой для данного поставщика услуг библиотеке

%SystemRoot% - это переменная среды, содержащая пусть к системномй каталогу
обычно содержит "C:\windows
mswsock.dll - библиотека

Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим примерно следующее:
rsvp32_2.dll.system32\mswsock.dll
То есть загружается не системная библиотека, а библиотека вируса.
Поскольку мы удалили ее, система ее не находит, и сеть не работает.

Нам нужно исправить это положение, чтобы путь к библиотеке был указан верно:
%SystemRoot%\system32\mswsock.dll

Нам необходимо проверить все разделы этой ветви и внести необходимые изменения, если нужно. Троян редактирует не все ветви.

У нас есть еще три ветви в реестре:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
Здесь также нужно проверить те же самые параметры, и внести изменения, если
необходимо.

Все! Перезагружаемся, и все работает. Чувствуем себя победителем и даже немного профессионалом.

Совет: Каждый раз перед выключением компьютера взгляните, что загрузится вместе с Windows
при следующей загрузке. Это можно сделать в программе Сведения о системе
Пуск -> Все программы -> Стандартные -> Служебные
В ней раздел "Программная среда"

Или могу посоветовать программу StartUp organizer.
Если есть что-то подозрительное, то удаляем из автозагрузки, и идем в поисковик для поиска информации по этой программе, чтобы понять, это вирус или полезная программа.
Удачи.

пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат)

-Цитата от Святой источник

пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат)

))) У меня эта хуета только через три дня стала ссылки к постам прибавлять

-Цитата от Раффи

))) У меня эта хуета только через три дня стала ссылки к постам прибавлять

я полчаса назад нажал на эту хуйню,написало что страницы такой нету.

я ещё комп не перезагружал.
можно чето предпринять?

-Цитата от Святой источник

я полчаса назад нажал на эту хуйню,написало что страницы такой нету.

я ещё комп не перезагружал.
можно чето предпринять?

хуй его знает.
Попробуй сделать как в топ-посте расписано.

-Цитата от Раффи

хуй его знает.
Попробуй сделать как в топ-посте расписано.

в вин32 таких файлов нету

-Цитата от Святой источник

в вин32 таких файлов нету

какой нах вин32?
Залезь в директорию Windows\system32, там ищи файлы rsvp32_2.dll (он там должен быть, если ты клакнул по ссылке), и sporder.dll. У меня были только эти файлы. Далее->перезагрузка в сейф-моде в режиме админа->удаление этой хуйни->перезагрузка в норм виде->трахание с реестром

-Цитата от Раффи

какой нах вин32?
Залезь в директорию Windows\system32, там ищи файлы rsvp32_2.dll (он там должен быть, если ты клакнул по ссылке), и sporder.dll. У меня были только эти файлы. Далее->перезагрузка в сейф-моде в режиме админа->удаление этой хуйни->перезагрузка в норм виде->трахание с реестром

нету таких) походу мне повезло

-Цитата от Святой источник

пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат)

там уже автозамена стоит на форуме, там у тебя не открылась ссылка просто

Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет.

Помню был у меня этот вирус, я создавал тему, но ее админы удалили))
ФБляч, ну короч я винду переставил
, исавчас не че ни тапитт

я говорю ни че не тупит

извиняюсь, просто глючит

А у меня она в аське рассылает другим хотя я даже не подозреваю об этом!
Придется удалить..

-Цитата от Раффи

))) У меня эта хуета только через три дня стала ссылки к постам прибавлять

такая хуета может влезть в мобилу?

-Цитата от Arnie

Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет.

ну ты лол ваще. чувак грамотно расписал все... руки выпрями и вперед

Arnie, ну проще-не проще, а 20 минут возни, и всё нормально. Без загонов.
-SVG-, она именно через асю и действует
Cheez, вряд ли
3looby,

а если у меня просто есть файл rsvpsp.dll и rsvp(параметр конфигурации) это тоже он?

-Цитата от Dj [SL.AY]

а если у меня просто есть файл rsvpsp.dll и rsvp(параметр конфигурации) это тоже он?

Нет, это системные файлы

-Цитата от Arnie

Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет.

да ну ты че.
проще комп новый купить

пс у меня его nod32 сразу впалил как я только на ссылку нажал

автор молодчага

темку прикрепить было бы хорошо... а то у меня у каждоговторого васе такая хуйня....

но чукча умный - чукча презерватив одевает на мышку, прежде чем ссылку нажать

слава богу у меня этой херни нету, хоть и залезал почти по всем этим ссылкам

я чист.
алах акбар нод 32.

ага заебали уже в асю иврусы кидать

-Цитата от Zeke

ага заебали уже в асю иврусы кидать

Как правило, человек не видит, что кидается его контактам с его аккаунта)

-

слава богу у меня этой херни нету, хоть и залезал почти по всем этим ссылкам

он не сразу начинает выёбывать комп

Double V, нутк ёпт, через резиновый клапан хуй какой вирус подберется (: