Новый вирус для пользователей Qip

[Guest radiogolova]

Новый вирус для пользователей QIP и, возможно, не только.

В QIP-сообщения а также в электронную почту вирус вставляет строки например:

"Вот та страничка что ты спрашивал вчера - 81.95.145.***/index.html" (последние цифры я зменил на звездочки)

Причем отследить это отправителю невозможно. Оказалось, это троян который заражает файл rsvp32_2.dll в каталоге windows/system32/

Вот как лечится: (информация с сайта http://forum.votkinsk.net/index.php?showto...mp;#entry172202 )

Описание вируса и как с ним бороться

 

Когда мы заходим на сайт, нам через ошибку броузера (или еще как-то)

пихается такой файл upnp.exe

Он прописывается в реестр в раздел программ, загружающихся вместе с Вашим

компьютером.

Эта программа - скачиватель основной части трояна. Она загружает с определенных

сайтов разные файлы.

 

Данный троян - прокси сервер, используется для того, чтобы другой человек мог производить различные действия от Вашего IP-адреса. Например, рассылать спам.

Также сожержит возможность загружать на Ваш компьютер другие программы и запускать.

 

В результате в папке C:\windows\system32 появляются следующие файлы:

unpn.exe

rsvp32_2.dll - сам троян

sporder.dll

trj35_1.tmp

trj35_2.tmp

uin.txt - сюда записываются все UIN ICQ

adv.txt - текст сообщения для отправки по ICQ

 

Эти файлы нужно удалить. Обычно они обнаруживаются, когда уже загружены системой и

используются ей, и удалить их просто нажав Del не получится.

Как удалить:

 

Сделайте это антивирусом. Обычно есть такая возможность у большинства антивирусов,

когда какой-то файл можно пометить как "нехороший", и он будет удален после

перезагрузки, еще до загрузки операционной системы.

ИЛИ

Перезагрузитесь, и перед загрузкой операционной системы нажмите F8. Выберите

из списка загрузку в SafeMode (Безопасный режим). Эти файлы можно будет спокойно удалить.

ИЛИ

Перезагрузитесь с загрузочной дискеты, и удалите через DOS.

 

Но это еще не все. Дело в том, что rsvp32_2.dll прописывается в реестре как

поставщик услуг интернета, и после его удаления сеть не будет работать или будет работать с ошибками.

Переустановка операционной системы не поможет, поскольку эти параметры сохраняются.

Нам нужно самостоятельно отредактировать некоторые вещи в реестре.

 

Нажмите "Пуск" -> Выполинть. Введте regedit

Загрузится редактор реестра.

Откройте ветвь реестра

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.

В каждом из этих разделов есть параметр PackedCatalogItem

Вот он то нас и интересует. Открываем.

Появляется окно "Редактирования двоичного параметра"

В самом начале содержимого должна быть примерно такая строка

%SystemRoot%\system32\mswsock.dll

Это путь к необходимой для данного поставщика услуг библиотеке

 

%SystemRoot% - это переменная среды, содержащая пусть к системномй каталогу

обычно содержит "C:\windows

mswsock.dll - библиотека

 

Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим примерно следующее:

rsvp32_2.dll.system32\mswsock.dll

То есть загружается не системная библиотека, а библиотека вируса.

Поскольку мы удалили ее, система ее не находит, и сеть не работает.

 

Нам нужно исправить это положение, чтобы путь к библиотеке был указан верно:

%SystemRoot%\system32\mswsock.dll

 

Нам необходимо проверить все разделы этой ветви и внести необходимые изменения, если нужно. Троян редактирует не все ветви.

 

У нас есть еще три ветви в реестре:

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

Здесь также нужно проверить те же самые параметры, и внести изменения, если

необходимо.

 

Все! Перезагружаемся, и все работает. Чувствуем себя победителем и даже немного профессионалом.

 

Совет: Каждый раз перед выключением компьютера взгляните, что загрузится вместе с Windows

при следующей загрузке. Это можно сделать в программе Сведения о системе

Пуск -> Все программы -> Стандартные -> Служебные

В ней раздел "Программная среда"

 

Или могу посоветовать программу StartUp organizer.

Если есть что-то подозрительное, то удаляем из автозагрузки, и идем в поисковик для поиска информации по этой программе, чтобы понять, это вирус или полезная программа.

Удачи.

 

Надеюсь кому-то помог. Пользуйтесь антивирусами, и обязательно обновляйте базы.

[kuznec 1]

Мне не помог

Но я тоже надеюсь что кому-то ты помог

[OnviK 0]

А я вообще сижу в инвизе и ко мне спам не приходит

[Vlad 3 136]

Много ламеров на эту фишку попадаются в итоге потом от друзей идет ссылка ! типа привет как дела)) вои новые фотки)) хех от своих контактов... ну тут сразу ясно ! чувак подцепил вирусняк..

[Guest radiogolova]

> А я вообще сижу в инвизе и ко мне спам не приходит

Он может загрузиться со страницы сайта, ссылки на которые дает вирус. Может и на других страницах висеть. Причем его не нужно запускать - посетил страницу, все, заражен.

 

>Много ламеров на эту фишку попадаются в итоге потом от друзей идет ссылка ! типа привет как дела)) вои новые фотки)) хех от своих контактов... ну тут сразу ясно ! чувак подцепил вирусняк..

Согласен. Я до этого сидел без ключеннного антивируса (тормозят они систему), проверяя полностью комп раз в неделю. А тут хватанул....

Знакомая кстати жаловалась что от МОЕГО имени ей пришло письмо со ссылкой на открытку. Она перешла по ссылке и подхватила трояна.

 

>Мне не помог.

Попробуй переименовать файл rsvp32_2.dll во что-нибудь другое. Этот вирус работает через него. Но файл как указано выше нужен для работы в сети. Уж не знаю в какой сети - локальной или интернете, но у меня локалки нет а интернет работает (через диалап). Вирус больше не активен.

 

Кстати, по той же причине не рекомендую переходить по ссылкам которые рассылаются спамерами в ICQ или mail.ru Агенте.

[OnviK 0]

Он может загрузиться со страницы сайта, ссылки на которые дает вирус. Может и на других страницах висеть. Причем его не нужно запускать - посетил страницу, все, заражен.

 

Хехе... моя Опера пока непробиваема