Win32.Opasoft

[V.V.]

Добрый день, уважаемые участники форума. Плиз хелп ми. У меня стоит Доктор Веб, каждые минут 20 выдает, что файл srv32.exe заражен дрянью, которая в названии темы и предлагает полечить - лечу, но, видимо, бесполезно. Я так понимаю, что этот файл вирус создает сам, и мне очень хочется от него избавиться (в смысле от вируса). Опять таки понимаю, что это очень трудно удаляемая хрень, но вылечиться все-таки хочется. В общем нужна Ваша помощь.

Заранее спасибо.

П.С. А какой эта штуковина приносит вред, если кто знает?

[Old men]

Вот тебе две страницы, на одной краткое описание, на другой более подробное.

Там несколько разновидностей, выбери свою и лечи. Удачи

http://www.viruslist.com/ru/find?search_mo...pasoft&x=20&y=8

http://www.viruslist.com/ru/viruses/encycl...a?virusid=24807

[V.V.]

Большое спасибо за ответ! Но помощь мне все еще нужна. Винда у меня - XP. Нельзя сказать, что я в ней совсем ничерта не понимаю... но я обычный юзер .

Схема лечения в Ваших ссылках такова:

удалить EXE-файл червя - это удаляет доктор Веб сам

удалить команду "run=" в файле WIN.INI (см. выше) - а где он лежит то?

удалить команду "run" в системном реестре (см. выше) - а это где?

Извиняюсь, если вопросы очень глупые :).

[Gеneral]

V.V.

WIN.INI- на диске С: в корне, реестр в pusk->выполнить->regedit.exe

[Old men]

Сначала надо запустить DrWeb.

Стоит ли на компе Total/Windows Commander? Если да, то в меню Команды нажать Поиск файлов и указать там WIN.INI, после этого при помощи Листера открыть файл и убрать нужные (вернее не нужные) строки.

Если коммандера нет, то после Доктора Веба, не запуская ничего надо нажать Пуск - Найти - Файлы и папки и в появившемся окне набрать WIN.INI (во всех случаях искать на диске С). Когда файл будет найден, щелкнуть по нему правой кнопкой и открыть с помощью Блокнота и в нем убрать лишнее. Все закрыть с сохранением редактирования.

Потом нажать Пуск - Выполнить, в появившемся оне набрать regedit и нажать кнопку ОК.

Откроется файл Реестра. В меню Правка нажмите Найти и введите уакзанный ключ реестра. Когда он будет найден, правой кнопкой щелкните по строке и удалите лишнее.

БОЛЬШЕ НИЧЕГО В РЕЕСТРЕ НЕ ТРОГАТЬ

Удачи, но если есть кто знакомый, лучше знающий компы, попросите помочь

[V.V.]

Снова всем спасибо, но видимо буду надоедать до конца. Простите пожалуйста :). Значит так.

Вот что написано в файле win.ini:

; for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[Mail]

MAPI=1

CMC=1

CMCDLLNAME=mapi.dll

CMCDLLNAME32=mapi32.dll

MAPIX=1

MAPIXVER=1.0.0.1

OLEMessaging=1

[MCI Extensions.BAK]

aif=MPEGVideo

aifc=MPEGVideo

aiff=MPEGVideo

asf=MPEGVideo2

asx=MPEGVideo2

au=MPEGVideo

ivf=MPEGVideo2

m1v=MPEGVideo

m3u=MPEGVideo2

mp2=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo2

mpa=MPEGVideo

mpe=MPEGVideo

mpeg=MPEGVideo

mpg=MPEGVideo

mpv2=MPEGVideo

snd=MPEGVideo

wax=MPEGVideo2

wm=MPEGVideo2

wma=MPEGVideo2

wmp=MPEGVideo2

wmv=MPEGVideo2

wmx=MPEGVideo2

wvx=MPEGVideo2

[iRIS_IPE]

menu=1

[sciCalc]

layout=0

никаких строк со словом run нет вообще.

В системном реестре тоже нет ничего подозрительного - жаль не знаю как вставлять рисунки.... В общем строк типа:

"Srv32"="%system%\Srv32.exe" там нет.

Естественно самого файла srv32.exe нигде тоже нет. Но после захода в инет и непродолжительного там сидения доктор Веб заявляет что сей файл есть, заражен Win32.Opasoft.26625 и предлагает полечить.

Не понимаю чего делать.

[Old men]

Так сделай вот что!

Внимательно прочитай вот эту ссылку http://www.softboard.ru/index.php?showtopi...ndpost&p=142842 и как там написано, очисть свой браузер.

Судя по всему, ты вылечиваешь DrWeb'ом комп, потом браузер тебя кидает на автозагрузку с вирусного сайта и ты его снова цепляешь.

Кроме того, какая защита стоит на компе? Файерволл? Антиспай? Включен ли вирусный монитор? Какой браузер?

[V.V.]

Посмотрел Вашу ссылку. Ну в общем Вы наверное ошиблись - попал на основную страницу форума.

У меня Эксплорер 6. Файерволов, антиспаев нет. На компе стоит, как уже говорил доктор Веб, Spider Guard включен - он и выцепляет вирус.

[Old men]

Виноват, дейстительно ошибка

http://www.softboard.ru/index.php?showtopic=13391&st=135

[abram4]

http://securityresponse.symantec.com/avcen...erv.j.worm.html

[Old men]

У меня Эксплорер 6. Файерволов, антиспаев нет

Выходить в интернет без файерволла, это все равно,что маленького ребенка отпускать одного гулять в большом городе.

Настоятельно рекомендую поставить и файерволл и антитроянов. Для новичка наверное будет проще всего разобраться с Agnitum Outpost Firewall, тем более, что он есть русскоязычный, и к нему есть хороший мануал в PDF, тоже на русском.

Из антитроянов рекомендую Ad-Aware SE Personal, он свободен и скачать его можно прямо на сайте http://www.lavasoft.de/support/download/

Когда установишь антитроян, обязательно проверь ВСЕ диски

Добавлено : [mergetime]1109577990[/mergetime]

Да, еще было бы неплохо вместо IE пользоваться нормальным браузером, например Firefox, Opera или, по крайней мере, поставить на IE надстройку MyIE 2 (последняя версия вышла под другим именем)

[V.V.]

Добрый вечер! Спасибо за ответ. Правда вопросы все еще есть :).

Ad-Aware я качнул и установил - он нашел у меня всякую гадость. Полез в системный реестр - как написано в Вашей ссылке и... не все понятно в общем. Вот что я обнаружил:

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main"Default_Search_URL"=http://search.adplace.ru/websearch.php

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main"Search Page"=http://search.adplace.ru/websearch.php

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search"CustomizeSearch"=http://search.adplace.ru/websearch.php?hh=customize

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search"Default_Search_URL"=http://search.adplace.ru/websearch.php

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search"SearchAssistant"=http://search.adplace.ru/websearch.php?hh=assistant

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search"SearchAssistant"=http://search.adplace.ru/websearch.php?hh=assistant

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search"CustomizeSearch"=http://search.adplace.ru/websearch.php?hh=customize

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Search Page"=http://search.adplace.ru/websearch.php

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Local Page"=%SystemRoot%\system32\blank.htm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Search Bar"=http://search.adplace.ru/websearch.php?hh=bar

Правильно ли я понимаю, что все эти http://search.adplace.ru/websearch.php - есть вещи нежелательные и их нужно удалить? И как их удалить - просто стереть данную ссылку?

Заранее спасибо.

[Old men]

Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Local Page"=%SystemRoot%\system32\blank.htm

безусловно НЕ ЛИШНИЙ.

Все остальные ключи прокомментировать не могу, я не пользуюсь Internet Explorer (чего и вам желаю), но я зашел по этому адресу, это просто поисковый сайт и никто не пытался ничего сунуть на мой комп. Так, что я думаю, это безопасный адрес, а вот нужен он тебе или нет, решай сам.

Если не нужен, то удаление, действительно, просто стереть ссылку

[V.V.]

Спасибо за советы, уважаемый Old men!

Еще вот вопросик :D. В файле msconfig в разделе автозагрузка я обнаружил непонятное мне приложение ну и отключил его, естественно. Называется оно так: UIUCU, там указан путь, где оно валяется C\...\LocalSettings\Temp\UIUCU.exe -clean_up-s. Но в данной папке я ничего подобного не обнаружил. Как его выцепить?

Насчет браузера - решил поставить оперу - но как сделать так, чтобы Explorer не отжирал памяти?

[Old men]

Насчет приложения ничего не скажу, но так, по догадкам, вроде должна очищать папки перед выключением (или включением) компа. Тогда это системный файл с атрибутом "скрытый".

А по поводу браузера, имхо, Опера требует ключа, а Firefox бесплатен и не хуже Оперы.

А от Эксплорера, к сожалению, не избавиться, он слишком сильно интегрирован в ОС.