Для всех, кто подцепил вирус со скрином
 

Описание вируса и как с ним бороться

Когда мы заходим на сайт, нам через ошибку броузера (или еще как-то)
пихается такой файл upnp.exe
Он прописывается в реестр в раздел программ, загружающихся вместе с Вашим
компьютером.
Эта программа - скачиватель основной части трояна. Она загружает с определенных
сайтов разные файлы.

Данный троян - прокси сервер, используется для того, чтобы другой человек мог производить различные действия от Вашего IP-адреса. Например, рассылать спам.
Также сожержит возможность загружать на Ваш компьютер другие программы и запускать.

В результате в папке C:\windows\system32 появляются следующие файлы:
unpn.exe
rsvp32_2.dll - сам троян
sporder.dll
trj35_1.tmp
trj35_2.tmp
uin.txt - сюда записываются все UIN ICQ
adv.txt - текст сообщения для отправки по ICQ

Эти файлы нужно удалить. Обычно они обнаруживаются, когда уже загружены системой и
используются ей, и удалить их просто нажав Del не получится.
Как удалить:

Сделайте это антивирусом. Обычно есть такая возможность у большинства антивирусов,
когда какой-то файл можно пометить как "нехороший", и он будет удален после
перезагрузки, еще до загрузки операционной системы.
ИЛИ
Перезагрузитесь, и перед загрузкой операционной системы нажмите F8. Выберите
из списка загрузку в SafeMode (Безопасный режим). Эти файлы можно будет спокойно удалить.
ИЛИ
Перезагрузитесь с загрузочной дискеты, и удалите через DOS.

Но это еще не все. Дело в том, что rsvp32_2.dll прописывается в реестре как
поставщик услуг интернета, и после его удаления сеть не будет работать или будет работать с ошибками.
Переустановка операционной системы не поможет, поскольку эти параметры сохраняются.
Нам нужно самостоятельно отредактировать некоторые вещи в реестре.

Нажмите "Пуск" -> Выполинть. Введте regedit
Загрузится редактор реестра.
Откройте ветвь реестра
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.
В каждом из этих разделов есть параметр PackedCatalogItem
Вот он то нас и интересует. Открываем.
Появляется окно "Редактирования двоичного параметра"
В самом начале содержимого должна быть примерно такая строка
%SystemRoot%\system32\mswsock.dll
Это путь к необходимой для данного поставщика услуг библиотеке

%SystemRoot% - это переменная среды, содержащая пусть к системномй каталогу
обычно содержит "C:\windows
mswsock.dll - библиотека

Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим примерно следующее:
rsvp32_2.dll.system32\mswsock.dll
То есть загружается не системная библиотека, а библиотека вируса.
Поскольку мы удалили ее, система ее не находит, и сеть не работает.

Нам нужно исправить это положение, чтобы путь к библиотеке был указан верно:
%SystemRoot%\system32\mswsock.dll

Нам необходимо проверить все разделы этой ветви и внести необходимые изменения, если нужно. Троян редактирует не все ветви.

У нас есть еще три ветви в реестре:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
Здесь также нужно проверить те же самые параметры, и внести изменения, если
необходимо.

Все! Перезагружаемся, и все работает. Чувствуем себя победителем и даже немного профессионалом.

Совет: Каждый раз перед выключением компьютера взгляните, что загрузится вместе с Windows
при следующей загрузке. Это можно сделать в программе Сведения о системе
Пуск -> Все программы -> Стандартные -> Служебные
В ней раздел "Программная среда"

Или могу посоветовать программу StartUp organizer.
Если есть что-то подозрительное, то удаляем из автозагрузки, и идем в поисковик для поиска информации по этой программе, чтобы понять, это вирус или полезная программа.
Удачи.

пиздец,я вот только что на эту ебаную ссылку нажал благодаря Джилы (Спасибо брат)

))) У меня эта хуета только через три дня стала ссылки к постам прибавлять

я полчаса назад нажал на эту хуйню,написало что страницы такой нету.

я ещё комп не перезагружал.
можно чето предпринять?

хуй его знает.
Попробуй сделать как в топ-посте расписано.

в вин32 таких файлов нету

какой нах вин32?
Залезь в директорию Windows\system32, там ищи файлы rsvp32_2.dll (он там должен быть, если ты клакнул по ссылке), и sporder.dll. У меня были только эти файлы. Далее->перезагрузка в сейф-моде в режиме админа->удаление этой хуйни->перезагрузка в норм виде->трахание с реестром

нету таких) походу мне повезло

там уже автозамена стоит на форуме, там у тебя не открылась ссылка просто

Проще форматнуть диск С и переустановить винду! Без всяких загонов, и не факт что после всего этого винда нормально функционировать будет.

Помню был у меня этот вирус, я создавал тему, но ее админы удалили))
ФБляч, ну короч я винду переставил
, исавчас не че ни тапитт

я говорю ни че не тупит

извиняюсь, просто глючит

А у меня она в аське рассылает другим хотя я даже не подозреваю об этом! :(
Придется удалить..

такая хуета может влезть в мобилу?

ну ты лол ваще. чувак грамотно расписал все... руки выпрями и вперед :)

Arnie, ну проще-не проще, а 20 минут возни, и всё нормально. Без загонов.
-SVG-, она именно через асю и действует
Cheez, вряд ли
3looby, :horosho:

а если у меня просто есть файл rsvpsp.dll и rsvp(параметр конфигурации) это тоже он?

Нет, это системные файлы

да ну ты че.
проще комп новый купить:horosho:

пс у меня его nod32 сразу впалил как я только на ссылку нажал:muse:

автор молодчага :horosho:

темку прикрепить было бы хорошо... а то у меня у каждоговторого васе такая хуйня....

но чукча умный - чукча презерватив одевает на мышку, прежде чем ссылку нажать :dovolen:

слава богу у меня этой херни нету, хоть и залезал почти по всем этим ссылкам

я чист.
алах акбар нод 32.

ага заебали уже в асю иврусы кидать :o

Как правило, человек не видит, что кидается его контактам с его аккаунта)

он не сразу начинает выёбывать комп :morj:

Double V, нутк ёпт, через резиновый клапан хуй какой вирус подберется (:

Вот и у меня, я на ссыль нажал, и НОД сразу спалил и убил.... И никаких проблем...

ну это понятно... просто в посл время до хуя вирусов по асе кидаю.. у мя вот недавно увели так асю... потом на новой уже пару пытались. :(

Так а ну скинулись аффтару на новый компьютер за доброе дело! Человек сам простудился пока ваше железо лечил:miha:

тьфу, тьфу, тьфу, но пока ничо не подцепил, даже без предохранения

Cheez, :p
Далай-лама 14-й, поставь Аутпост и антивирус хороший с настройкой ручной и того, и другого, и хрен когда чё подцепишь :horosho: (:

Аффтар, хотелсь бы узнать как сам трой называеца...насчет софта, что ты порекомендовал, не очень эффективно...есть более удобные и более информативные проги...хорошо использовать для получения информации след свзяку софта:

SystemInternals Autoruns (показывает все что загружаеца с виндой + все дрова и библиотеки)

SystemInternals ProcessExplorer (тот же диспетчер задач, только с более расширенныим возможностями)

Security TaskExplorer (shareware) (показывает все процессы в системе, но делает уклон безопасность, т.е. показывает озможно опасные процессы)

+ к этому, неплохо иметь для профилактики нормальный фаер и антивирь

Очень даже хороший фаер - Agnitum Outpost Firewall, имеет антишпион и еще кучу всякой хрени...но не смотря на это не плохо справляеца со своей главной задачей...

А также, если есть подозрение что есть имееца вирус или трой, то этот софт просто необходим, в т.ч. фаервол...а для поиска создаваемых вирусом файлов и ключей не помешает использовать SystemInternals FileMon и SystemInternals RegMon

Бро, ты форумом ошибся.
Тут этим себе никто мозги не ебёт.
Я хз, как вирус называется.

бля...попытался антивирусом ебнуть как написано в заглавном посте,а у меня комп перезагружается постоянно,даже в безопасном режиме:( .

Может у тебя другой вирус?
Найди его на viruslist.com, если там не будет описания как его удалить, то там покрайней мере будет написано как он называеца у других антивирусов, смотришь как он называеца у Symantec Antivirus, потом ищешь на http://www.symantec.com/security_response/index.jsp и ищешь его там, а там уже будет написано какие файлы и ключи в реестре он создает и как его лечить...

Возможно и ошибся, но мало ли, вдруг кому будет интересно то что я написал и вдруг оно поможет, а насчет того, что никто мозги не ебет, не стоит отвечать за всех

неа...вирус тот,название такое же и фаил с ним нашел...а антивирус сука его не берет...окно высвечивается "трам-па-пам ошибка...перезагрузка через 60сек"
Делал уже раз 20ть...все как в инструкции...

а ваще хуля мне-то обьянять,я не програмист и нихуя не секу как с подобной хуйней бороться,если не по стандартным способам...
Придеться другу водку ставить,чтоб комп починил:(

Во всем виноват хип-хоп.ру:netuz: .

Сними флаг, который стоит тут: Мой компьютер - Свойства - Дополнительно - Параметры - Выполить автоматическую перезагрузку
И потом лечись спокойно.

спасибо;) ...мне уже все обьяснили по асе,завтра буду лечиться,надеюсь,что уж прям по схеме смогу сообразить как и чё:) .

у меня вроде такого файла нет, значит я чист???:confused: :confused:

да и других вроде нет, заебись!:) :dovolen:

а вообще, автару медаль за такую помощь!!!!:horosho:

icq segodnja postu4ali skinuli fotku ja skazal poshol nahui vasja

Помимо этого, перед удалением любых вирусом желательно выключить восстановление системы, т.к. веник может этот вирус восстановить после перезагрузки системы, подумав что это системный файл...делаейа это так:
Мой компьютер -- свойства -- восстаовление системы -- поставить галочку "ОТключить восстановление на всех дисках" -- ОК

я ваще негодяй...вчера оказывается я всем еще и по асе этот вирус накидал:( .

ну хуль мозгов то нету. ссылочки открываете. :|

мне тоже кто-то по асе кидал...тока я уже забыл кто...думал там трек какой скачать надо или фотки:( .

ну так а на ссылку смотреть не получается или ты автоматом щелкаеш? :confused:

да ночью кто-то кинул...мне уже похуй было:p .

бляя сегодня нажал а антивирусник не чё не нашел...может быть что мне повезло?

блин, подскажите, че за фигня
еа какой форум не сунусь (на которых была в течении недели) везде такая жопа
один хх.ру работает