|
Для всех, кто подцепил вирус со скрином Описание вируса и как с ним бороться Когда мы заходим на сайт, нам через ошибку броузера (или еще как-то) пихается такой файл upnp.exe Он прописывается в реестр в раздел программ, загружающихся вместе с Вашим компьютером. Эта программа - скачиватель основной части трояна. Она загружает с определенных сайтов разные файлы. Данный троян - прокси сервер, используется для того, чтобы другой человек мог производить различные действия от Вашего IP-адреса. Например, рассылать спам. Также сожержит возможность загружать на Ваш компьютер другие программы и запускать. В результате в папке C:\windows\system32 появляются следующие файлы: unpn.exe rsvp32_2.dll - сам троян sporder.dll trj35_1.tmp trj35_2.tmp uin.txt - сюда записываются все UIN ICQ adv.txt - текст сообщения для отправки по ICQ Эти файлы нужно удалить. Обычно они обнаруживаются, когда уже загружены системой и используются ей, и удалить их просто нажав Del не получится. Как удалить: Сделайте это антивирусом. Обычно есть такая возможность у большинства антивирусов, когда какой-то файл можно пометить как "нехороший", и он будет удален после перезагрузки, еще до загрузки операционной системы. ИЛИ Перезагрузитесь, и перед загрузкой операционной системы нажмите F8. Выберите из списка загрузку в SafeMode (Безопасный режим). Эти файлы можно будет спокойно удалить. ИЛИ Перезагрузитесь с загрузочной дискеты, и удалите через DOS. Но это еще не все. Дело в том, что rsvp32_2.dll прописывается в реестре как поставщик услуг интернета, и после его удаления сеть не будет работать или будет работать с ошибками. Переустановка операционной системы не поможет, поскольку эти параметры сохраняются. Нам нужно самостоятельно отредактировать некоторые вещи в реестре. Нажмите "Пуск" -> Выполинть. Введте regedit Загрузится редактор реестра. Откройте ветвь реестра HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д. В каждом из этих разделов есть параметр PackedCatalogItem Вот он то нас и интересует. Открываем. Появляется окно "Редактирования двоичного параметра" В самом начале содержимого должна быть примерно такая строка %SystemRoot%\system32\mswsock.dll Это путь к необходимой для данного поставщика услуг библиотеке %SystemRoot% - это переменная среды, содержащая пусть к системномй каталогу обычно содержит "C:\windows mswsock.dll - библиотека Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим примерно следующее: rsvp32_2.dll.system32\mswsock.dll То есть загружается не системная библиотека, а библиотека вируса. Поскольку мы удалили ее, система ее не находит, и сеть не работает. Нам нужно исправить это положение, чтобы путь к библиотеке был указан верно: %SystemRoot%\system32\mswsock.dll Нам необходимо проверить все разделы этой ветви и внести необходимые изменения, если нужно. Троян редактирует не все ветви. У нас есть еще три ветви в реестре: HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries Здесь также нужно проверить те же самые параметры, и внести изменения, если необходимо. Все! Перезагружаемся, и все работает. Чувствуем себя победителем и даже немного профессионалом. Совет: Каждый раз перед выключением компьютера взгляните, что загрузится вместе с Windows при следующей загрузке. Это можно сделать в программе Сведения о системе Пуск -> Все программы -> Стандартные -> Служебные В ней раздел "Программная среда" Или могу посоветовать программу StartUp organizer. Если есть что-то подозрительное, то удаляем из автозагрузки, и идем в поисковик для поиска информации по этой программе, чтобы понять, это вирус или полезная программа. Удачи. |
пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат) |
Цитата:
|
Цитата:
я ещё комп не перезагружал. можно чето предпринять? |
Цитата:
Попробуй сделать как в топ-посте расписано. |
Цитата:
|
Цитата:
Залезь в директорию Windows\system32, там ищи файлы rsvp32_2.dll (он там должен быть, если ты клакнул по ссылке), и sporder.dll. У меня были только эти файлы. Далее->перезагрузка в сейф-моде в режиме админа->удаление этой хуйни->перезагрузка в норм виде->трахание с реестром |
Цитата:
|
Цитата:
|
Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет. |
Помню был у меня этот вирус, я создавал тему, но ее админы удалили)) ФБляч, ну короч я винду переставил , исавчас не че ни тапитт |
я говорю ни че не тупит |
извиняюсь, просто глючит |
А у меня она в аське рассылает другим хотя я даже не подозреваю об этом! :( Придется удалить.. |
Цитата:
|
Цитата:
|
Arnie, ну проще-не проще, а 20 минут возни, и всё нормально. Без загонов. -SVG-, она именно через асю и действует Cheez, вряд ли 3looby, :horosho: |
а если у меня просто есть файл rsvpsp.dll и rsvp(параметр конфигурации) это тоже он? |
Цитата:
|
Цитата:
проще комп новый купить:horosho: пс у меня его nod32 сразу впалил как я только на ссылку нажал:muse: |
автор молодчага :horosho: темку прикрепить было бы хорошо... а то у меня у каждоговторого васе такая хуйня.... но чукча умный - чукча презерватив одевает на мышку, прежде чем ссылку нажать :dovolen: |
слава богу у меня этой херни нету, хоть и залезал почти по всем этим ссылкам |
я чист. алах акбар нод 32. |
ага заебали уже в асю иврусы кидать :o |
Цитата:
Цитата:
Double V, нутк ёпт, через резиновый клапан хуй какой вирус подберется (: |
| Часовой пояс GMT +3, время: 15:47. |
Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2025, vBulletin Solutions Inc.
vBulletin Optimisation provided by
vB Optimise (Pro) -
vBulletin Mods & Addons Copyright © 2025 DragonByte Technologies Ltd.