Выключается монитор

**shyp117** · 13.05.2008, 20:07

Около недели назад Avast начал фиксировать в папке c:\windows\temp файлы типа BN8 (BNA...

зараженные вирусом win32:Agent-wjt[trj], при попытке удаления этого файла программами типа IceSword (как здесь советовали при подобной проблемме) выявлялся вирус в c:\windows\system32\drivers\vde2nzm5.sys win32:trojan-gen, после пары сканирований всей системы до загрузки windows, в результате которой всегда обнаруживались разные вирусы, монитор после входа в интернет начал выключаться, причем системник судя по всему работал, проблему после установки outpost удалось решить путем блокирования всех подозрительных процесов, но вирусы так и остались при отключении outpost все повторяется !!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 13.05.2008, 20:20

Пофиксить

Код:

O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: ABBYY.Licensing.FineReader.Professional.9.0 - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)
O23 - Service: AppMgmt - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)

Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}');
 DeleteService('Msx38');
 StopService('Msx38');
StopService('Ubg84'); 
DeleteService('Ubg84');
 StopService('Rxd38'); 
 DeleteService('Rxd38');
 StopService('huadio');
 DeleteService('huadio');
 StopService('mapmem'); 
 DeleteService('mapmem');
 StopService('Hpu17');
 DeleteService('Hpu17');
 StopService('Qvb73');
 DeleteService('Qvb73');
 StopService('AppMgmt');
 DeleteService('AppMgmt');
 StopService('Amstcmsapwin');
 QuarantineFile('Amstcmsapwin.sys','');
 DeleteService('Amstcmsapwin');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd38.sys','');
 QuarantineFile('D:\distrib\CS 1.6\3-ssc\ssclient.cmd','');
 QuarantineFile('WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Ubg84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Msx38.sys','');
 QuarantineFile('c:\mapmem.tmp','');
 QuarantineFile('c:\huadio.tmp','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hpu17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb73.sys','');
 QuarantineFile('C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Qvb73.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll','');
 DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Qvb73.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('Amstcmsapwin.sys');
 DeleteFile('C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hpu17.sys');
 DeleteFile('c:\huadio.tmp');
 DeleteFile('c:\mapmem.tmp');
 DeleteFile('C:\WINDOWS\System32\Drivers\Msx38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxd38.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Ubg84.sys');
 DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки закачать карантин и повторить логи.

**shyp117** · 13.05.2008, 21:10

пока BN9 в windows\temp появляется !

**Гриша** · 13.05.2008, 21:21

Все выполнять при отключенном антивирусе и интернете!

Скачать,меню,File,появится аналог проводника,найти:Qvb73.sys,WinNt32.dll,tcpsr.sys,п равая кнопка мыши Force Delete.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;    
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jqv38.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Bhm16.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb73.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteService('Jqv38');
 DeleteService('Lrw30');
 DeleteService('Bhm16');
 DeleteService('Qvb73');
 DeleteService('tcpsr');     
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Bhm16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jqv38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lrw30.sys');
 DeleteFile('WinNt32.dll');
 DeleteFile('C:\System Volume Information\_restore{5FF44690-0A0C-4884-BD84-1A6F3AD064A3}\RP400\A0148591.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Jqv38 ');
BC_DeleteSvc('Lrw30 ');
BC_DeleteSvc('Bhm16 ');
BC_DeleteSvc('Qvb73 ');
BC_DeleteSvc('tcpsr ');    
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22832

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

**shyp117** · 13.05.2008, 22:18

Вирусы больше вроде не появляются. Только переодически разрывается соединение, но это возможно OUTpost !

**Гриша** · 13.05.2008, 22:22

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Qvb73');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Qvb73 ');    
BC_Activate;
RebootWindows(true);
end.

Пофиксить

Код:

O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

Повторите логи.

**shyp117** · 13.05.2008, 23:15

Все вроде нормально !

**CyberHelper** · 22.02.2009, 05:17

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 28
В ходе лечения обнаружены вредоносные программы:
1. c:\\program files\\activationmanager\\activationmanager.dll - Trojan.Win32.BHO.bjn (DrWEB: Trojan.BhoSpy.5)
2. c:\\system volume information\\_restore{5ff44690-0a0c-4884-bd84-1a6f3ad064a3}\\rp400\\a0148591.dll - Trojan.Win32.BHO.byf (DrWEB: Trojan.BhoSpy.5)
3. c:\\windows\\system32\\drivers\\bhm16.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.18
4. c:\\windows\\system32\\drivers\\tcpsr.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
5. c:\\windows\\system32\\drivers\\ubg84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.18
6. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.wf (DrWEB: Trojan.DownLoader.59773)

Выключается монитор (заявка № 22832)

Опции темы

Выключается монитор

Итог лечения

Похожие темы

Выключается/включается монитор, виснет система

Отключается монитор

Выключается монитор или виснет рабочий стол

Во время загрузки одной из копий Windows периодически отключается и включается монитор

Во время загрузки одной из копий Windows периодически отключается и включается монитор

Ваши права в разделе