Показано с 1 по 15 из 15.

ТАкая проблема (заявка № 25033)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31

    Question ТАкая проблема

    Перестал воиспроизводиться звук с таких сайтов как Рутуб Ютуб Вконтакте и etc...
    Переустановка всех надстроект типа Flash Player не помогли
    Перестали скачиваться приложения ссылаясь на "Невозможно отообразить страницу"
    НЕ запускается приложение FireFox не выдавая при этом никаких ошибок
    Avast ничего не показал
    Что либо другое поставить не удалось
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачайте -
    все что найдется из этого списка
    C:\WINDOWS\system32\Drivers\Din73.sys
    C:\WINDOWS\system32\Drivers\Msx05.sys
    C:\WINDOWS\System32\drivers\tcpsr.sys
    C:\WINDOWS\system32\DRIVERS\Ude19.sys
    C:\WINDOWS\system32\Drivers\Wingm27.sys
    - force delete (правой кнопкой мыши)
    затем выполните скрипт в авз ...
    Код:
    begin
    QuarantineFile('','');
    SetAVZGuardStatus(True);
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\msauc.exe','');
     QuarantineFile('C:\WINDOWS\herjek.exe','');
     QuarantineFile('C:\WINDOWS\helloserv.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     BC_DeleteSvc('Wingl73');
     BC_DeleteSvc('Winkp16');
     BC_DeleteSvc('Winlq16');
     BC_DeleteSvc('Winns38');
     BC_DeleteSvc('Winye38');
     BC_DeleteSvc('Wingm27');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm27.sys','');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('Msx05');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Msx05.sys','');
     BC_DeleteSvc('Din73');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Din73.sys','');
     BC_DeleteSvc('avast!Browser');
     BC_DeleteSvc('COMSysAppclr_optimization_v2.0.50727_32');
     BC_DeleteSvc('FastUserSwitchingCompatibilityWmdmPmSN');
     BC_DeleteSvc('HTTPFilterwinmgmt');
     BC_DeleteSvc('ImapiServiceMSDTC');
     BC_DeleteSvc('Netmanmnmsrvc');
     BC_DeleteSvc('ProtectedStorageCOMSysApp');
     BC_DeleteSvc('ProtectedStoragewscsvcProtectedStorageCOMSysApp');
     BC_DeleteSvc('RasAutoSpooler');
     BC_DeleteSvc('TapiSrvWmi');
     BC_DeleteSvc('TlntSvrRSVP');
     BC_DeleteSvc('WmiWmiApSrv');
     BC_DeleteSvc('wscsvcProtectedStorageCOMSysApp');
     BC_DeleteSvc('WZCSVCHTTPFilter');
     BC_DeleteSvc('ZZZsvc_lich');
     QuarantineFile('C:\lich.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Wingm27.sys','');
     QuarantineFile('Ude19.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Msx05.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Din73.sys','');
     QuarantineFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys','');
     QuarantineFile('C:\WINDOWS\xmlmimefilter.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\basejkv32.dll','');
     QuarantineFile('c:\windows\msauc.exe','');
     DeleteFile('c:\windows\msauc.exe');
     DeleteFile('C:\WINDOWS\system32\basejkv32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
     DeleteFile('C:\WINDOWS\xmlmimefilter.dll');
     DeleteFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Din73.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Msx05.sys');
     DeleteFile('Ude19.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Wingm27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Din73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Msx05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingl73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkp16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winns38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winye38.sys');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\helloserv.exe');
     DeleteFile('C:\WINDOWS\herjek.exe');
     DeleteFile('C:\WINDOWS\msauc.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('WinNt64.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31
    вот, архив карантина пришлось выслать 2-й раз т.к. добавился новый файл
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в IceSword удаление производитось ? если нет все операции проделать поновой

  6. #5
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31
    если в IceSword нужно было искать в процессах - то там ничего небыло
    если нет - тогда где прочитать где удалять )

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  8. #7
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31
    Вот
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Восст системы надо отключить обязательно!
    Карантин не был загружен!!!

    Все надо будет проделывать еще раз.
    Через IceSword удалить:
    Код:
    C:\WINDOWS\system32\Drivers\Msx05.sys
    C:\WINDOWS\System32\drivers\tcpsr.sys
    Ude19.sys
    C:\WINDOWS\system32\Drivers\Wingm27.sys
    Затем Скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\lich.sys','');
     DeleteService('ZZZdrv_lich');
     SetServiceStart('Wingm27', 4);
     DeleteService('Msx05');
     SetServiceStart('Msx05', 4);
     DeleteService('Din73');
     SetServiceStart('Din73', 4);
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Wingm27.sys','');
     QuarantineFile('Ude19.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Msx05.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Msx05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('Ude19.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Wingm27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Din73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Msx05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
     DeleteFile('C:\lich.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('WinNt64.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31
    Сделали.
    Карантин пустой.

    Сейчас всё видео/аудио воспроизводится со звуком. Спасибо!!
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Живучая сволочь.
    Опять в IceSword убивать:
    C:\WINDOWS\System32\drivers\tcpsr.sys
    C:\WINDOWS\System32\Drivers\Pvb62.sys

    Профиксить:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb62.sys','');
     DeleteService('wuauservNla');
     DeleteService('wscsvcProtectedStorageCOMSysAppCOMSysApp');
     DeleteService('WmiApSrvRemoteAccess');
     DeleteService('WmdmPmSNupnphost');
     DeleteService('stisvcRasMan');
     DeleteService('SoundMAXTrkWks');
     DeleteService('SamSsImapiService');
     DeleteService('mnmsrvcdmserver');
     DeleteService('LmHostsShellHWDetection');
     DeleteService('FCINtLmSspDnscache');
     DeleteService('FCINtLmSsp');
     DeleteService('EventSystemNtLmSsp');
     DeleteService('EventlogNla');
     DeleteService('DcomLaunchNetDDEdsdm');
     DeleteService('COMSysAppCiSvc');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Логи попробуй удалить из директории Logs и сделать заново.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31
    И снова:
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31
    Карантин снова пустой.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_DeleteFile('C:\WINDOWS\System32\Drivers\Pvb62.sys');
     BC_DeleteSvc('wuauservNla');
     BC_DeleteSvc('wscsvcProtectedStorageCOMSysAppCOMSysApp');
     BC_DeleteSvc('WmiApSrvRemoteAccess');
     BC_DeleteSvc('WmdmPmSNupnphost');
     BC_DeleteSvc('stisvcRasMan');
     BC_DeleteSvc('SoundMAXTrkWks');
     BC_DeleteSvc('SamSsImapiService');
     BC_DeleteSvc('mnmsrvcdmserver');
     BC_DeleteSvc('LmHostsShellHWDetection');
     BC_DeleteSvc('FCINtLmSspDnscache');
     BC_DeleteSvc('FCINtLmSsp');
     BC_DeleteSvc('EventSystemNtLmSsp');
     BC_DeleteSvc('EventlogNla');
     BC_DeleteSvc('DcomLaunchNetDDEdsdm');
     BC_DeleteSvc('COMSysAppCiSvc');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи с п.10
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    19
    Вес репутации
    31
    Как мы поняли. п. 8 не нужно было выполнять..
    Вложения Вложения

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,509
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\system volume information\\_restore{e259c42a-fcfb-4008-9106-1f9367ae2912}\\rp93\\a0044108.dll - Trojan.Win32.Small.alk (DrWEB: Trojan.MulDrop.11845)
      2. c:\\system volume information\\_restore{e259c42a-fcfb-4008-9106-1f9367ae2912}\\rp93\\a0069622.exe - Trojan.PHP.Turame.a (DrWEB: Trojan.Roro)
      3. c:\\windows\\helloserv.exe - Email-Worm.Win32.Zhelatin.zy (DrWEB: Trojan.DownLoader.62867)
      4. c:\\windows\\herjek.exe - Email-Worm.Win32.Zhelatin.zb (DrWEB: Trojan.Packed.46
      5. c:\\windows\\msauc.exe - Trojan.Win32.Agent.quj (DrWEB: Trojan.PWS.ICQSniff.25)
      6. c:\\windows\\system32\\basejkv32.dll - Trojan.Win32.SubSys.dr (DrWEB: Trojan.Okuks.based)
      7. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agm (DrWEB: Trojan.DownLoader.63553)
      8. c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aer (DrWEB: Trojan.DownLoader.63655)


  • Уважаемый(ая) dReaMer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Есть такая проблема
      От slavasimpex в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 04.08.2011, 20:45
    2. Вот такая проблема....
      От vlad6299 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.05.2010, 11:32
    3. Вот такая проблема....
      От vlad6299 в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 09.05.2010, 11:17
    4. Дня 4 такая проблема с компом
      От lukasik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.02.2010, 17:21
    5. Вот такая вот проблема...
      От EngageR в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 05.02.2009, 14:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00173 seconds with 22 queries