Junior Member
Вес репутации
56
Блокируется модем
Помогите пожалуйста устранить проблему: снова появилась проблема, существовавшая до установки антивируса Касперского (и с установкой исчезла) - блокирование
модема. При каждом входе в Интернет антивирус сигнализирует опасность:
"Процесс пытается внедриться в другой процесс. Такое поведение характерно
для некоторых вредоносных программ. Потенциально опасное ПО: Invader.
Процесс (PID:1836)", удаляется троянская программа Backdoor.win32.small.hqi
(c:\windows\Temp\BN6.tmp) и через 5-10 мин. все приложения передергивает и
выбрасывает из Интернета ("модем занят другим приложением или не настроен") и помогает только
перезагрузка, далее все повторяется, причем паралельно с модемом блокируется аудиоустройство - система его просто не видит. Все поиски, в том числе в безопасном
режиме и с помощью утилит не приносят результатов. Попробовал обновить
антивирус до новой версии 2009 - тот же результат. Нет возможности
пользоваться Интернетом. Подскажите как решить проблему!
Вложения
Последний раз редактировалось Bratez; 21.02.2009 в 09:12 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте AVZ, который у меня в подписи и далее работайте только с ним!
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xpvigv32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system32\TPSMain.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\Temp\BN5.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN6.tmp','');
DeleteFile('C:\WINDOWS\system32\xpvigv32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati0xfxx');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=40122
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
56
Карантин выслал
Карантин выслал. А что значит 3. Повторите логи?
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
сделать новые файлы как в первом сообщении , только с тем авз который модифицированный из подписи
Junior Member
Вес репутации
56
Последний раз редактировалось Oggyz; 23.02.2009 в 13:48 .
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteService('ati0xfxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati0xfxx');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
56
новые логи
Походу никуда этот товарищ из sysytem32 не делся...
Последний раз редактировалось Oggyz; 23.02.2009 в 13:48 .
Junior Member
Вес репутации
56
Проблема осталась - все тоже опасное ПО и выбрасывает из инета...
virusinfo_cure.zip уберите! (убирать в личном кабинете -> "Вложения")
Прикрепите лог virusinfo_sys check.zip
Добавлено через 6 минут
в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\xpvigv.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys');
DeleteFile('xpvigv.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
DeleteFile('C:\WINDOWS\Temp\BN7.tmp');
DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
DeleteFileMask('%tmp% ','*.* ',true );
DeleteService('ati0xfxx');
BC_ImportDeletedList;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati0xfxx');
BC_DeleteSvc('FCI');
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин.
Radmin сами устанавливали?
Логи повторите.
Последний раз редактировалось light59; 21.02.2009 в 17:04 .
Причина: Добавлено
Junior Member
Вес репутации
56
Последний раз редактировалось Oggyz; 23.02.2009 в 13:48 .
Junior Member
Вес репутации
56
новые логи
Карантин отправил, новые логи закачал. Radmin сам не устанавливал, даже не очень в курсе что это такое
Вложения
Junior Member
Вес репутации
56
все еще выбрасывает из инета
Сделайте полную проверку CureIT и повторите логи...
Junior Member
Вес репутации
56
Сделал полную проверку CureIT в безопасном режиме, новые логи...
Вложения
Junior Member
Вес репутации
56
бл....,все то же - вредоносное ПО,удалить, и выбрасывает из инета...ток снова перезагружаться
Не ндравится мне этот Radmin.. хоть его и нет вроде бы.
Ну раз уж вы не знаете, что это такое, то
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys');
DeleteFile('C:\WINDOWS\system32\rserver30\RServer3.exe');
BC_ImportDeletedList;
BC_DeleteSvc('RServer3');
BC_DeleteSvc('raddrvv3');
SetAVZPMStatus(True);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторите. Сейчас глянем, мб что новое высветится.
Junior Member
Вес репутации
56
Карантин выслал, логи прикрепил. Посмотрите пожалуйста, может чет координальное предпринять...
Вложения
Junior Member
Вес репутации
56
После последних карантина и логов пока из инета не выбрасывало, но после входа в инет ломится та же хр.. и пару раз комп сам перезагружался.. Это нормально? может там еще что-то сидит?
скачайте ICESword C:\WINDOWS\system32\Drivers\ati0xfxx.sys - force delete
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BNA.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN9.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN6.tmp','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys','');
DeleteService('tcpsr');
DeleteService('ati0xfxx');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys','');
QuarantineFile('C:\WINDOWS\system32\xpvigv.dll','');
DeleteFile('C:\WINDOWS\system32\xpvigv.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
DeleteFile('C:\WINDOWS\Temp\BN9.tmp');
DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
DeleteFile('C:\WINDOWS\Temp\BNB.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
56
А скрипт выполнять в AVZ или в ICESWORD?