ТАкая проблема

**dReaMer** · 20.06.2008, 23:29

Перестал воиспроизводиться звук с таких сайтов как Рутуб Ютуб Вконтакте и etc...
Переустановка всех надстроект типа Flash Player не помогли
Перестали скачиваться приложения ссылаясь на "Невозможно отообразить страницу"
НЕ запускается приложение FireFox не выдавая при этом никаких ошибок
Avast ничего не показал
Что либо другое поставить не удалось

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 21.06.2008, 01:00

скачайте -
все что найдется из этого списка
C:\WINDOWS\system32\Drivers\Din73.sys
C:\WINDOWS\system32\Drivers\Msx05.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\DRIVERS\Ude19.sys
C:\WINDOWS\system32\Drivers\Wingm27.sys
- force delete (правой кнопкой мыши)
затем выполните скрипт в авз ...

Код:

begin
QuarantineFile('','');
SetAVZGuardStatus(True);
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\msauc.exe','');
 QuarantineFile('C:\WINDOWS\herjek.exe','');
 QuarantineFile('C:\WINDOWS\helloserv.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
 BC_DeleteSvc('Wingl73');
 BC_DeleteSvc('Winkp16');
 BC_DeleteSvc('Winlq16');
 BC_DeleteSvc('Winns38');
 BC_DeleteSvc('Winye38');
 BC_DeleteSvc('Wingm27');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm27.sys','');
 BC_DeleteSvc('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 BC_DeleteSvc('Msx05');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Msx05.sys','');
 BC_DeleteSvc('Din73');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Din73.sys','');
 BC_DeleteSvc('avast!Browser');
 BC_DeleteSvc('COMSysAppclr_optimization_v2.0.50727_32');
 BC_DeleteSvc('FastUserSwitchingCompatibilityWmdmPmSN');
 BC_DeleteSvc('HTTPFilterwinmgmt');
 BC_DeleteSvc('ImapiServiceMSDTC');
 BC_DeleteSvc('Netmanmnmsrvc');
 BC_DeleteSvc('ProtectedStorageCOMSysApp');
 BC_DeleteSvc('ProtectedStoragewscsvcProtectedStorageCOMSysApp');
 BC_DeleteSvc('RasAutoSpooler');
 BC_DeleteSvc('TapiSrvWmi');
 BC_DeleteSvc('TlntSvrRSVP');
 BC_DeleteSvc('WmiWmiApSrv');
 BC_DeleteSvc('wscsvcProtectedStorageCOMSysApp');
 BC_DeleteSvc('WZCSVCHTTPFilter');
 BC_DeleteSvc('ZZZsvc_lich');
 QuarantineFile('C:\lich.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Wingm27.sys','');
 QuarantineFile('Ude19.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Msx05.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Din73.sys','');
 QuarantineFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys','');
 QuarantineFile('C:\WINDOWS\xmlmimefilter.dll','');
 QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\basejkv32.dll','');
 QuarantineFile('c:\windows\msauc.exe','');
 DeleteFile('c:\windows\msauc.exe');
 DeleteFile('C:\WINDOWS\system32\basejkv32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
 DeleteFile('C:\WINDOWS\xmlmimefilter.dll');
 DeleteFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Din73.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Msx05.sys');
 DeleteFile('Ude19.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Wingm27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Din73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Msx05.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingl73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkp16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winye38.sys');
 DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
 DeleteFile('C:\WINDOWS\helloserv.exe');
 DeleteFile('C:\WINDOWS\herjek.exe');
 DeleteFile('C:\WINDOWS\msauc.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('WinNt64.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**dReaMer** · 22.06.2008, 20:14

вот, архив карантина пришлось выслать 2-й раз т.к. добавился новый файл

**V_Bond** · 22.06.2008, 22:23

в IceSword удаление производитось ? если нет все операции проделать поновой

**dReaMer** · 23.06.2008, 17:31

если в IceSword нужно было искать в процессах - то там ничего небыло
если нет - тогда где прочитать где удалять )

**V_Bond** · 23.06.2008, 17:35

http://virusinfo.info/showthread.php?t=17228

**dReaMer** · 24.06.2008, 22:47

Вот

**PavelA** · 25.06.2008, 12:40

Восст системы надо отключить обязательно!
Карантин не был загружен!!!

Все надо будет проделывать еще раз.
Через IceSword удалить:

Код:

C:\WINDOWS\system32\Drivers\Msx05.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
Ude19.sys
C:\WINDOWS\system32\Drivers\Wingm27.sys

Затем Скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\lich.sys','');
 DeleteService('ZZZdrv_lich');
 SetServiceStart('Wingm27', 4);
 DeleteService('Msx05');
 SetServiceStart('Msx05', 4);
 DeleteService('Din73');
 SetServiceStart('Din73', 4);
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Wingm27.sys','');
 QuarantineFile('Ude19.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Msx05.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Msx05.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('Ude19.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Wingm27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Din73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Msx05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
 DeleteFile('C:\lich.sys');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('WinNt64.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**dReaMer** · 25.06.2008, 23:24

Сделали.
Карантин пустой.

Сейчас всё видео/аудио воспроизводится со звуком. Спасибо!!

**PavelA** · 26.06.2008, 10:01

Живучая сволочь.

Опять в IceSword убивать:
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Pvb62.sys

Профиксить:

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb62.sys','');
 DeleteService('wuauservNla');
 DeleteService('wscsvcProtectedStorageCOMSysAppCOMSysApp');
 DeleteService('WmiApSrvRemoteAccess');
 DeleteService('WmdmPmSNupnphost');
 DeleteService('stisvcRasMan');
 DeleteService('SoundMAXTrkWks');
 DeleteService('SamSsImapiService');
 DeleteService('mnmsrvcdmserver');
 DeleteService('LmHostsShellHWDetection');
 DeleteService('FCINtLmSspDnscache');
 DeleteService('FCINtLmSsp');
 DeleteService('EventSystemNtLmSsp');
 DeleteService('EventlogNla');
 DeleteService('DcomLaunchNetDDEdsdm');
 DeleteService('COMSysAppCiSvc');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи попробуй удалить из директории Logs и сделать заново.

**dReaMer** · 26.06.2008, 22:42

И снова:

**dReaMer** · 26.06.2008, 22:44

Карантин снова пустой.

**PavelA** · 27.06.2008, 11:53

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Pvb62.sys');
 BC_DeleteSvc('wuauservNla');
 BC_DeleteSvc('wscsvcProtectedStorageCOMSysAppCOMSysApp');
 BC_DeleteSvc('WmiApSrvRemoteAccess');
 BC_DeleteSvc('WmdmPmSNupnphost');
 BC_DeleteSvc('stisvcRasMan');
 BC_DeleteSvc('SoundMAXTrkWks');
 BC_DeleteSvc('SamSsImapiService');
 BC_DeleteSvc('mnmsrvcdmserver');
 BC_DeleteSvc('LmHostsShellHWDetection');
 BC_DeleteSvc('FCINtLmSspDnscache');
 BC_DeleteSvc('FCINtLmSsp');
 BC_DeleteSvc('EventSystemNtLmSsp');
 BC_DeleteSvc('EventlogNla');
 BC_DeleteSvc('DcomLaunchNetDDEdsdm');
 BC_DeleteSvc('COMSysAppCiSvc');
BC_Activate;
RebootWindows(true);
end.

Повторить логи с п.10

**dReaMer** · 28.06.2008, 13:56

Как мы поняли. п. 8 не нужно было выполнять..

**CyberHelper** · 22.02.2009, 06:05

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 16
В ходе лечения обнаружены вредоносные программы:
1. c:\\system volume information\\_restore{e259c42a-fcfb-4008-9106-1f9367ae2912}\\rp93\\a0044108.dll - Trojan.Win32.Small.alk (DrWEB: Trojan.MulDrop.11845)
2. c:\\system volume information\\_restore{e259c42a-fcfb-4008-9106-1f9367ae2912}\\rp93\\a0069622.exe - Trojan.PHP.Turame.a (DrWEB: Trojan.Roro)
3. c:\\windows\\helloserv.exe - Email-Worm.Win32.Zhelatin.zy (DrWEB: Trojan.DownLoader.62867)
4. c:\\windows\\herjek.exe - Email-Worm.Win32.Zhelatin.zb (DrWEB: Trojan.Packed.46
5. c:\\windows\\msauc.exe - Trojan.Win32.Agent.quj (DrWEB: Trojan.PWS.ICQSniff.25)
6. c:\\windows\\system32\\basejkv32.dll - Trojan.Win32.SubSys.dr (DrWEB: Trojan.Okuks.based)
7. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agm (DrWEB: Trojan.DownLoader.63553)
8. c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aer (DrWEB: Trojan.DownLoader.63655)

ТАкая проблема (заявка № 25033)

Опции темы

ТАкая проблема

Итог лечения

Похожие темы

Есть такая проблема

Вот такая проблема....

Вот такая проблема....

Дня 4 такая проблема с компом

Вот такая вот проблема...

Ваши права в разделе