В старом форуме была такая тема. Но тогда синий экран появлялся не с такой частотой. А сейчас-это просто невозможно. Компьютер приходится перезагружать каждые 5-10 минут. И происходит это когда я начинаю указывать директорию для винампа или просто открываю папки в тотал командере. Помогите!

как то интересно гугль отреагировал на sdmapi.sys
http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=sdmapi.sys&btnG=Search

http://www.phenix-help.ru/viruslist.php?id=144939458

to MaxiM: До чего ж ты только ссылки любишь давать :)

------------------
Backdoor.Haxdor.o

Программа удаленного администрирования типа "backdoor". Имеет возможность распространения через интернет посредством зараженных писем при получении соответствующей команды от злоумышленника.

Упакована FSG. Размер в сжатом виде - 35792 байт, в разжатом - 103936 байта.

Установка
После запуска вирус переносит свой файл в системную директорию Windows под именем "w32_ss.exe". Далее на машину-жертву устанавливаются остальные модули программы:

debugg.dll
sdmapi.sys
boot32.sys
c3.dll
c3.sys
c4.sys
Все файлы за исключением debugg.dll, являющегося основным модулем "бэкдора", устанавливаются только на операционных системах семейства Windows NT.

Модули устанавливаются в системную директорию Windows:

Для Windows 9x:

System
Для Windows NT/2000/XP:

System32
Регистрирует себя в системном реестре:

Для операционных систем Windows 9x:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService]
DllName = "debugg.dll"
EntryPoint = "MemManager"
StackSize = 0
Для операционных систем Windows NT/2000/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg]
DllName = "debugg.dll"
Startup = "MemManager"
Impersonate = 1
Asynchronous = 1
MaxWait = 1
Выполняемые действия
открывает для прослушивания порт 16661 и ожидает подключения машин-клиентов;
имеет в арсенале большой набор команд для удаленного администрирования;
одно из основных назначений - похищение по команде злоумышленника различных паролей с зараженной машины и отправка их на определенные почтовые адреса.
Массовая рассылка
Вирус может производить массовую рассылку зараженных писем по электронной почте, при получении определенной команды от машины-клиента. Содержание писем и тип вложений могут быть произвольными и задаются непосредственно злоумышленником, дающим команду.
----------------------------------------------------------------
Взято с www.phenix-help.ru (http://www.phenix-help.ru/viruslist.php?id=144939458)

И еще, возможно по теме (http://forum.solnet.ru/showthread.php?t=594)

учу пользовать гугль =))))

А что теперь делать то? Dr. Web проверил весь хард и ничего не нашёл. Начал искать вручную-нашёл debugg.dll. Удаляться он не хочет. Пишет "снимите защиту".

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.mutny.html

Removal instructions
The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

1 Disable System Restore (Windows Me/XP).
2 Update the virus definitions.
3 Run a full system scan, and delete all files that are detected as Backdoor.Mutny.
4 Delete the value that the Trojan added to the registry.

For specific details on each of these steps, read the following instructions.

1. To disable System Restore (Windows Me/XP)
If you are running Windows Me or Windows XP, we recommend that you temporarily turn off System Restore. Windows Me/XP uses this feature, which is enabled by default, to restore the files on your computer in case they become damaged. If a virus, worm, or Trojan infects a computer, System Restore may back up the virus, worm, or Trojan on the computer.

Windows prevents outside programs, including antivirus programs, from modifying System Restore. Therefore, antivirus programs or tools cannot remove threats in the System Restore folder. As a result, System Restore has the potential of restoring an infected file on your computer, even after you have cleaned the infected files from all the other locations.

Also, a virus scan may detect a threat in the System Restore folder even though you have removed the threat.

For instructions on how to turn off System Restore, read your Windows documentation, or one of the following articles:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam

Dr. Web проверил весь хард и ничего не нашёл.

А ты обновление баз drweb'a сделал?

Dr.Web я сегодня обновил. Он ничего не нашёл. Stinger тоже. Синий экран продолжает постоянно появляться. И нет мне спасения! :eek:
Перестали запускаться винамп, IE (работаю с Оперой), Windows media player :cool: :cool:
Что делать??? Переставлять систему?

Dr.Web я сегодня обновил. Он ничего не нашёл. Stinger тоже. Синий экран продолжает постоянно появляться. И нет мне спасения! :eek:
Перестали запускаться винамп, IE (работаю с Оперой), Windows media player :cool: :cool:
Что делать??? Переставлять систему?Просто удали вышеперечисленные файлы. Как? Очень просто:

1. Ctrl+Alt+Del, заверши процесс w32_ss.exe.
2. Зайди в реестр: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, удали оттуда строку содержащую имя фала w32_ss.exe.
3. Перезагрузись.
4. Удали выше перечисленные dll файлы.

Вот эти файлы удаляются, но после удаления появляются вновь!

хм... я бы систему переставила - от греха подальше
дело-то полутора часов работы вместе с установкой всего дополнительного софта :rolleyes:
иных умных мыслей в голову не приходит (имхо, там в реестре попа, что за попа и как с ней совладать - хз)