tcpsr.sys

[mic149]

Помогите пожалуйста - не хочу winxp переустанавливать. Компьютер постоянно шлёт кому-то почту. спам бот наверное какой-то...
avast! пишет что процесс svchost.exe почту рассылает.
cure it! находит, но не лечит:
c:\windows\system32\drivers\tcpsr.sys - trojan.siggen.66, а по мнению avast'а это win32:trojan-gen {other}

c:\windows\system32\drivers\winek84.sys, winfl40.sys и др. - trojan.rntm.10

c:\windows\temp\bn4.tmp и др. - trojan.inject.3477

c:\windows\system32\winctrl32.dll - trojan.downloader.63553 - этого кажется победил, пока письмо писал, хотя....
---------------------
логи тут...
moderated:::карантин загружать по красной ссылке вверху темы

[wise-wistful]

virusinfo_cure.zip удалите через мой кабинет--вложени = это карантин и его высылают по ссылке вверху страницы.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('Pvb28', 4);
 StopService('Pvb28');
 QuarantineFile('C:\Program Files\WildTangent\DDC\DDCManager\DDCMan.exe','');
 QuarantineFile('C:\Program Files\WildTangent\DDC\ActiveMenu\DDCActiveMenu.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winms73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winci17.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd51.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Pvb28.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Pvb28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qwd51.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlr27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winms73.sys');
BC_ImportAll;
BC_DeleteSvc('Winci17');
BC_DeleteSvc('Winlr27');
BC_DeleteSvc('Winms73');
BC_DeleteSvc('Qwd51');
BC_DeleteSvc('Pvb28');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=24540

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

[mic149]

всё равно шлёт письма...
и не понял как удалить файл через ваш кабинет
-----------
карантин отправил
помогите, плиз

[mic149]

система....

[Rene-gad]

Скачайте IceSword, найдите и удалите файл C:\WINDOWS\system32\Drivers\Pvb28.sys.
Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Pvb28');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Pvb28.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Pvb28.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторите логи от п.10 правил.

[mic149]

логи вот:

[Rene-gad]

Еще один скрипт, плиз

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('tcpsr');
 DeleteService('Pvb28');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pvb28.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpssys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Pvb28.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Лог АВЗ п.10 правил после ребута повторите, плиз

[mic149]

правильный лог?

[wise-wistful]

врагов в логе не видать, вот только у Вас включено восстановление системы и они могт от-туда воспрять как птица феникс, после отката системы. Я бы Вам порекомендовал отключить. а потом снова включить Восстановление системы. это убъёт там врагов. Проблемы какие-то наблюдаются?

[mic149]

спасибо. все проблемы исчезли.

[Rene-gad]

правильный лог?

Угу
Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
В ближайшее время обновите систему

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)