V.V. Posted February 24, 2005 Report Share Posted February 24, 2005 Добрый день, уважаемые участники форума. Плиз хелп ми. У меня стоит Доктор Веб, каждые минут 20 выдает, что файл srv32.exe заражен дрянью, которая в названии темы и предлагает полечить - лечу, но, видимо, бесполезно. Я так понимаю, что этот файл вирус создает сам, и мне очень хочется от него избавиться (в смысле от вируса). Опять таки понимаю, что это очень трудно удаляемая хрень, но вылечиться все-таки хочется. В общем нужна Ваша помощь. Заранее спасибо. П.С. А какой эта штуковина приносит вред, если кто знает? Quote Link to comment Share on other sites More sharing options...
Old men Posted February 24, 2005 Report Share Posted February 24, 2005 Вот тебе две страницы, на одной краткое описание, на другой более подробное. Там несколько разновидностей, выбери свою и лечи. Удачи http://www.viruslist.com/ru/find?search_mo...pasoft&x=20&y=8 http://www.viruslist.com/ru/viruses/encycl...a?virusid=24807 Quote Link to comment Share on other sites More sharing options...
V.V. Posted February 25, 2005 Author Report Share Posted February 25, 2005 Большое спасибо за ответ! Но помощь мне все еще нужна. Винда у меня - XP. Нельзя сказать, что я в ней совсем ничерта не понимаю... но я обычный юзер . Схема лечения в Ваших ссылках такова: удалить EXE-файл червя - это удаляет доктор Веб сам удалить команду "run=" в файле WIN.INI (см. выше) - а где он лежит то? удалить команду "run" в системном реестре (см. выше) - а это где? Извиняюсь, если вопросы очень глупые :). Quote Link to comment Share on other sites More sharing options...
Gеneral Posted February 25, 2005 Report Share Posted February 25, 2005 V.V. WIN.INI- на диске С: в корне, реестр в pusk->выполнить->regedit.exe Quote Link to comment Share on other sites More sharing options...
Old men Posted February 25, 2005 Report Share Posted February 25, 2005 Сначала надо запустить DrWeb. Стоит ли на компе Total/Windows Commander? Если да, то в меню Команды нажать Поиск файлов и указать там WIN.INI, после этого при помощи Листера открыть файл и убрать нужные (вернее не нужные) строки. Если коммандера нет, то после Доктора Веба, не запуская ничего надо нажать Пуск - Найти - Файлы и папки и в появившемся окне набрать WIN.INI (во всех случаях искать на диске С). Когда файл будет найден, щелкнуть по нему правой кнопкой и открыть с помощью Блокнота и в нем убрать лишнее. Все закрыть с сохранением редактирования. Потом нажать Пуск - Выполнить, в появившемся оне набрать regedit и нажать кнопку ОК. Откроется файл Реестра. В меню Правка нажмите Найти и введите уакзанный ключ реестра. Когда он будет найден, правой кнопкой щелкните по строке и удалите лишнее. БОЛЬШЕ НИЧЕГО В РЕЕСТРЕ НЕ ТРОГАТЬ Удачи, но если есть кто знакомый, лучше знающий компы, попросите помочь Quote Link to comment Share on other sites More sharing options...
V.V. Posted February 25, 2005 Author Report Share Posted February 25, 2005 Снова всем спасибо, но видимо буду надоедать до конца. Простите пожалуйста :). Значит так. Вот что написано в файле win.ini: ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 CMC=1 CMCDLLNAME=mapi.dll CMCDLLNAME32=mapi32.dll MAPIX=1 MAPIXVER=1.0.0.1 OLEMessaging=1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo2 asx=MPEGVideo2 au=MPEGVideo ivf=MPEGVideo2 m1v=MPEGVideo m3u=MPEGVideo2 mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo2 mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo2 wm=MPEGVideo2 wma=MPEGVideo2 wmp=MPEGVideo2 wmv=MPEGVideo2 wmx=MPEGVideo2 wvx=MPEGVideo2 [iRIS_IPE] menu=1 [sciCalc] layout=0 никаких строк со словом run нет вообще. В системном реестре тоже нет ничего подозрительного - жаль не знаю как вставлять рисунки.... В общем строк типа: "Srv32"="%system%\Srv32.exe" там нет. Естественно самого файла srv32.exe нигде тоже нет. Но после захода в инет и непродолжительного там сидения доктор Веб заявляет что сей файл есть, заражен Win32.Opasoft.26625 и предлагает полечить. Не понимаю чего делать. Quote Link to comment Share on other sites More sharing options...
Old men Posted February 25, 2005 Report Share Posted February 25, 2005 Так сделай вот что! Внимательно прочитай вот эту ссылку http://www.softboard.ru/index.php?showtopi...ndpost&p=142842 и как там написано, очисть свой браузер. Судя по всему, ты вылечиваешь DrWeb'ом комп, потом браузер тебя кидает на автозагрузку с вирусного сайта и ты его снова цепляешь. Кроме того, какая защита стоит на компе? Файерволл? Антиспай? Включен ли вирусный монитор? Какой браузер? Quote Link to comment Share on other sites More sharing options...
V.V. Posted February 25, 2005 Author Report Share Posted February 25, 2005 Посмотрел Вашу ссылку. Ну в общем Вы наверное ошиблись - попал на основную страницу форума. У меня Эксплорер 6. Файерволов, антиспаев нет. На компе стоит, как уже говорил доктор Веб, Spider Guard включен - он и выцепляет вирус. Quote Link to comment Share on other sites More sharing options...
Old men Posted February 25, 2005 Report Share Posted February 25, 2005 Виноват, дейстительно ошибка http://www.softboard.ru/index.php?showtopic=13391&st=135 Quote Link to comment Share on other sites More sharing options...
abram4 Posted February 25, 2005 Report Share Posted February 25, 2005 http://securityresponse.symantec.com/avcen...erv.j.worm.html Quote Link to comment Share on other sites More sharing options...
Old men Posted February 28, 2005 Report Share Posted February 28, 2005 У меня Эксплорер 6. Файерволов, антиспаев нет Выходить в интернет без файерволла, это все равно,что маленького ребенка отпускать одного гулять в большом городе. Настоятельно рекомендую поставить и файерволл и антитроянов. Для новичка наверное будет проще всего разобраться с Agnitum Outpost Firewall, тем более, что он есть русскоязычный, и к нему есть хороший мануал в PDF, тоже на русском. Из антитроянов рекомендую Ad-Aware SE Personal, он свободен и скачать его можно прямо на сайте http://www.lavasoft.de/support/download/ Когда установишь антитроян, обязательно проверь ВСЕ диски Добавлено : [mergetime]1109577990[/mergetime] Да, еще было бы неплохо вместо IE пользоваться нормальным браузером, например Firefox, Opera или, по крайней мере, поставить на IE надстройку MyIE 2 (последняя версия вышла под другим именем) Quote Link to comment Share on other sites More sharing options...
V.V. Posted March 3, 2005 Author Report Share Posted March 3, 2005 Добрый вечер! Спасибо за ответ. Правда вопросы все еще есть :). Ad-Aware я качнул и установил - он нашел у меня всякую гадость. Полез в системный реестр - как написано в Вашей ссылке и... не все понятно в общем. Вот что я обнаружил: HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main"Default_Search_URL"=http://search.adplace.ru/websearch.php HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main"Search Page"=http://search.adplace.ru/websearch.php HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search"CustomizeSearch"=http://search.adplace.ru/websearch.php?hh=customize HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search"Default_Search_URL"=http://search.adplace.ru/websearch.php HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search"SearchAssistant"=http://search.adplace.ru/websearch.php?hh=assistant HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search"SearchAssistant"=http://search.adplace.ru/websearch.php?hh=assistant HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search"CustomizeSearch"=http://search.adplace.ru/websearch.php?hh=customize HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Search Page"=http://search.adplace.ru/websearch.php HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Local Page"=%SystemRoot%\system32\blank.htm HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Search Bar"=http://search.adplace.ru/websearch.php?hh=bar Правильно ли я понимаю, что все эти http://search.adplace.ru/websearch.php - есть вещи нежелательные и их нужно удалить? И как их удалить - просто стереть данную ссылку? Заранее спасибо. Quote Link to comment Share on other sites More sharing options...
Old men Posted March 4, 2005 Report Share Posted March 4, 2005 Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"Local Page"=%SystemRoot%\system32\blank.htm безусловно НЕ ЛИШНИЙ. Все остальные ключи прокомментировать не могу, я не пользуюсь Internet Explorer (чего и вам желаю), но я зашел по этому адресу, это просто поисковый сайт и никто не пытался ничего сунуть на мой комп. Так, что я думаю, это безопасный адрес, а вот нужен он тебе или нет, решай сам. Если не нужен, то удаление, действительно, просто стереть ссылку Quote Link to comment Share on other sites More sharing options...
V.V. Posted March 4, 2005 Author Report Share Posted March 4, 2005 Спасибо за советы, уважаемый Old men! Еще вот вопросик :D. В файле msconfig в разделе автозагрузка я обнаружил непонятное мне приложение ну и отключил его, естественно. Называется оно так: UIUCU, там указан путь, где оно валяется C\...\LocalSettings\Temp\UIUCU.exe -clean_up-s. Но в данной папке я ничего подобного не обнаружил. Как его выцепить? Насчет браузера - решил поставить оперу - но как сделать так, чтобы Explorer не отжирал памяти? Quote Link to comment Share on other sites More sharing options...
Old men Posted March 4, 2005 Report Share Posted March 4, 2005 Насчет приложения ничего не скажу, но так, по догадкам, вроде должна очищать папки перед выключением (или включением) компа. Тогда это системный файл с атрибутом "скрытый". А по поводу браузера, имхо, Опера требует ключа, а Firefox бесплатен и не хуже Оперы. А от Эксплорера, к сожалению, не избавиться, он слишком сильно интегрирован в ОС. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.