HELP! Вирус?

Question

Нортоном определяется как C:\WINDOWS\system32\fsb.exe Но сам Нортон не помогает, компьютер уходит в перезагрузку. Появляется только при включении сети, при отключеной всё работает, сканированием ничего не находит.

o158ew3ce · Accepted Answer

такая же фигня была.. мс бласт ищи...  у тебя комп этой фигней заражен...   достла меня эта штука... заплатку поставь...

DiEgo · Answer

А я уменя такая фигня изза разогна появилась. Я думал что и правда заразился.. что мало вероятно! 
Проверился.. всё чисто :) Глюк был.. 
А так лечить симантековской тулзой +патчик. И всё будет пучком. Никаких перестановок не надо делать.. 
за часик восстановили сеть из 20 машин поймавших эту лабудень.

ViKiNg™ · Answer

Нифига это не msblast и lovesan...

ZHALO? · Answer

Подтверждаю... Залезла такая пися, выковырять не смог... НИЧЕМ.... И траффик какой-то неадекватный стал... Но переустановку сделать все не решаюсь:( Слишком много завязано...

MediaSound™ · Answer

лечить только руками, затем собирать трупики кашмарским

ViKiNg™ · Answer

Спасибо конечно, но с английским мягко говоря слабо. В реестре где указывается, его нет.

Sonc · Answer

Я не заставляю семантеком лечить ;) От них просто метода чистки.

DiEgo · Answer

Ftp Релкома пускает в первую очеред клиентов самого релкома.. Или требует ввода логина с паролем. 
Оперой когда заходишь она ругается что боьлше 10 юзверей на ftp не положено. Иногда заходит.. ;)

ViKiNg™ · Answer

Если можно viking@e1.ru

Insp · Answer

есть прога, весит  немного... могу кинуть, может паможет.

o158ew3ce · Answer

та же фигня... я на мп урал.. с релкома ничего не могу скачать... мне паренек от провайдера принес поставил...  говорил, что нашем сегменте такой фигней все поголовно страдали...

Monstr™ · Answer

не надо лазить где попало, не надо открывать что попало, админы предупреждают, стоит Нортон, все пучком. На работе гляну прогу.

o158ew3ce · Answer

сочувствую...  поставь касперского нортон с этой фигней не справится... могу прислать лечилку на мсбласт... может поможет...

Nikit@ · Answer

Блин а я (по причине другова прова) не могу эту прогу скачать с ФТП Релкома :(

o158ew3ce · Answer

угу... поставлена.. 
трафик жрал, да помню... щас все пучком...

Nikit@ · Answer

Опять же смотрим сюда-

У меня тоже после нее не вылазит а трафик жрет гад...

Nikit@ · Answer

Саймантек палит конечно и удаляет НО НЕ решает траблу пока есть дырявые порты...он так и будет лезть...

У меня за 2 минуты выкачал 15 мб...пров МП Урал (не лучшая сеть сами знаете :) )

o158ew3ce · Answer

мне заплатка помогла... больше не вылазила эта фигня...

o158ew3ce · Answer

неа.. не поможет...   проверено...

Sonc · Answer

Щаз :)
Выше я привел листинг с семантека. отлично лечится ручками.

Если пропускная способность сети не высокая - то тут даже Джин не поможет полтяху качнуть ;)

Nikit@ · Answer

Не поможет!


Не поможет..если уж залез то все тушите свет!! Переустановка только поможет а так нужна прога закрывающая открытые порты (млин забыл название) она лежит на релкомовском ФТП
Этот гад не только Винду перегружает но и с удовольствием жрет трафик За 5 минут может легко сожрать до 50 мб...причем вы этого не заметите....Заплаты рашат проблему но не надолго!

Sonc · Answer

Вирусяка это.

When W32.HLLP.Yero.Worm is executed, it performs the following actions:
Creates the following files in the %System% folder:
fsb.stb 
fsb.tmp
--------------------------------------------------------------------------------
Note: 
These files are detected as W32.HLLP.Yero.Worm.dr. 
%System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
--------------------------------------------------------------------------------
Attempts to access remote computers with the following user accounts:
admin 
Guest 
Administrator 
Owner 
Root
Copies itself to the following folder:
\Documents and Settings\All Users\Start menu\Programs\Startup\ 
\WNDOWS\Start Menu\Programs\Startup\ 
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
Connects to a predetermined IRC server and waits for the commands from an attacker.
Prepends itself to all the files with .exe, .com, .scr, and .pif extensions.
On Windows 95/98/Me, modifies the shell= line of the System.ini file to:
shell=explorer.exe %System%\fsb.exe.
On Windows NT/2000/XP, the worm modifies the value:
"Shell"="Explorer.exe fsb.exe"
in the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
4. Deleting the value from the registry (Windows NT/2000/XP only)
--------------------------------------------------------------------------------
WARNING: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions. 
--------------------------------------------------------------------------------
Click Start, and then click Run. (The Run dialog box appears.) 
Type regedit 
Then click OK. (The Registry Editor opens.)
Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
In the right pane, delete the string: 
fsb.exe
from:
"Shell"="Explorer.exe fsb.exe"
Exit the Registry Editor.
5. Editing the System.ini file (Windows 95/98/Me only)
If you are running Windows 95/98/Me, follow these steps:
The function you perform depends on your operating system: 
Windows 95/98: Go to step B. 
Windows Me: If you are running Windows Me, the Windows Me file-protection process may have made a backup copy of the Win.ini file that you need to edit. If this backup copy exists, it will be in the C:\Windows\Recent folder. Symantec recommends that you delete this file before continuing with the steps in this section. To do this: 
Start Windows Explorer. 
Browse to and select the C:\Windows\Recent folder. 
In the right pane, select the System.ini file and delete it. The System.ini file will be regenerated when you save your changes to it in step F.
Click Start, and then click Run.
Type the following, and then click OK. 
edit c:\windows\system.ini
(The MS-DOS Editor opens.)
NOTE: If Windows is installed in a different location, make the appropriate path substitution.
In the [boot] section of the file, look for a line similar to:
shell = Explorer.exe fsb.exe
If this line exists, delete everything to the right of Explorer.exe.
When you are done, it should look like:
shell = Explorer.exe
Click File, and then click Save. 
Click File, and then click Exit.

YK115 · Answer

попробуй выдернуть сетевой провод (не электро) и поставить например sp2. Потом провод обратно воткни.