Блокируется модем

**Oggyz** · 20.02.2009, 14:03

Помогите пожалуйста устранить проблему: снова появилась проблема, существовавшая до установки антивируса Касперского (и с установкой исчезла) - блокирование
модема. При каждом входе в Интернет антивирус сигнализирует опасность:
"Процесс пытается внедриться в другой процесс. Такое поведение характерно
для некоторых вредоносных программ. Потенциально опасное ПО: Invader.
Процесс (PID:1836)", удаляется троянская программа Backdoor.win32.small.hqi
(c:\windows\Temp\BN6.tmp) и через 5-10 мин. все приложения передергивает и
выбрасывает из Интернета ("модем занят другим приложением или не настроен") и помогает только
перезагрузка, далее все повторяется, причем паралельно с модемом блокируется аудиоустройство - система его просто не видит. Все поиски, в том числе в безопасном
режиме и с помощью утилит не приносят результатов. Попробовал обновить
антивирус до новой версии 2009 - тот же результат. Нет возможности
пользоваться Интернетом. Подскажите как решить проблему!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 20.02.2009, 14:29

Скачайте AVZ, который у меня в подписи и далее работайте только с ним!

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\xpvigv32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
 QuarantineFile('C:\WINDOWS\system32\TPSMain.exe','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\Temp\BN5.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BN6.tmp','');
 DeleteFile('C:\WINDOWS\system32\xpvigv32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\rs32net.exe');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
 DeleteFileMask('%tmp% ','*.* ',true );
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('ati0xfxx');
 BC_DeleteSvc('tcpsr');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=40122

3. Повторите логи.

**Oggyz** · 20.02.2009, 19:21

Карантин выслал. А что значит 3. Повторите логи?

**drongo** · 20.02.2009, 19:37

virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log

сделать новые файлы как в первом сообщении , только с тем авз который модифицированный из подписи

**Oggyz** · 20.02.2009, 23:37

но проблема осталась...

**Гриша** · 21.02.2009, 07:48

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('tcpsr');
 DeleteService('ati0xfxx');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati0xfxx');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

**Oggyz** · 21.02.2009, 15:15

Походу никуда этот товарищ из sysytem32 не делся...

**Oggyz** · 21.02.2009, 16:46

Проблема осталась - все тоже опасное ПО и выбрасывает из инета...

**light59** · 21.02.2009, 17:04

virusinfo_cure.zip уберите! (убирать в личном кабинете -> "Вложения")
Прикрепите лог virusinfo_syscheck.zip

Добавлено через 6 минут

в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\xpvigv.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys');
 DeleteFile('xpvigv.dll');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN7.tmp');
 DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
 DeleteFileMask('%tmp% ','*.* ',true );
 DeleteService('ati0xfxx');
BC_ImportDeletedList;
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('ati0xfxx');
 BC_DeleteSvc('FCI');
 BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин.
Radmin сами устанавливали?
Логи повторите.

**Oggyz** · 21.02.2009, 17:06

Удалил и загрузил.

**Oggyz** · 21.02.2009, 18:38

Карантин отправил, новые логи закачал. Radmin сам не устанавливал, даже не очень в курсе что это такое

**Oggyz** · 21.02.2009, 18:52

все еще выбрасывает из инета

**Гриша** · 21.02.2009, 18:58

Сделайте полную проверку CureIT и повторите логи...

**Oggyz** · 21.02.2009, 22:00

Сделал полную проверку CureIT в безопасном режиме, новые логи...

**Oggyz** · 21.02.2009, 22:18

бл....,все то же - вредоносное ПО,удалить, и выбрасывает из инета...ток снова перезагружаться

**light59** · 21.02.2009, 22:28

Не ндравится мне этот Radmin.. хоть его и нет вроде бы.
Ну раз уж вы не знаете, что это такое, то

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys');
 DeleteFile('C:\WINDOWS\system32\rserver30\RServer3.exe');
BC_ImportDeletedList;
 BC_DeleteSvc('RServer3');
 BC_DeleteSvc('raddrvv3');
SetAVZPMStatus(True);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи повторите. Сейчас глянем, мб что новое высветится.

**Oggyz** · 22.02.2009, 00:31

Карантин выслал, логи прикрепил. Посмотрите пожалуйста, может чет координальное предпринять...

**Oggyz** · 22.02.2009, 14:13

После последних карантина и логов пока из инета не выбрасывало, но после входа в инет ломится та же хр.. и пару раз комп сам перезагружался.. Это нормально? может там еще что-то сидит?

**V_Bond** · 22.02.2009, 14:19

скачайте ICESwordC:\WINDOWS\system32\Drivers\ati0xfxx.sys - force delete
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\BNA.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BN9.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BN6.tmp','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys','');
 DeleteService('tcpsr');
 DeleteService('ati0xfxx');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys','');
 QuarantineFile('C:\WINDOWS\system32\xpvigv.dll','');
 DeleteFile('C:\WINDOWS\system32\xpvigv.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN9.tmp');
 DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
 DeleteFile('C:\WINDOWS\Temp\BNB.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**Oggyz** · 22.02.2009, 14:26

А скрипт выполнять в AVZ или в ICESWORD?

Блокируется модем (заявка № 40122)

Опции темы

Блокируется модем

Карантин выслал

новые логи

новые логи

новые логи

Похожие темы

Блокируется соединение с интернетом через 3G модем (заявка №71208)

Не можем вылечить

Не работает ключ 1C(LPT),модем(COM)

CDMA USB-модем

Ваши права в разделе