Пропадают аудиоустройства в стандартном микшере системы.

**naikonsha** · 16.02.2010, 09:08

Доброго времени суток. Столкнулся с такой проблемой. При перезагрузке Windows через 5 - 10 минут тема заменяеться на классическую и не может найти аудио устройства.

Сначало я думал проблема в драйверах пошарился наустанавливался в доволь не чего не помогло. После переустановки Windows наверно раз в пятый такой же эффект. Как я понял дело не в драйверах. Поскреб по ресурсам интернета сказали что завелся скорее всего Kido. Посоветовали поставить заплатки для Windows я поставил их но после установки обновлений у меня не один браузер не мог загружать странички. Заново поставил винду и опять тоже самое. Dr.Web после проверки сказал всё в порядке вирусов нету. И вот я не знаю что делать с этой проблемой звука. Подскажите, помагите !

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**naikonsha** · 16.02.2010, 19:54

Ну что не кто не поможет ? :\

Добавлено через 10 часов 22 минуты

Up

**thyrex** · 16.02.2010, 20:55

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\czhkk.exe');
 QuarantineFile('c:\windows\system32\drivers\czhkk.exe','');
 DeleteFile('c:\windows\system32\drivers\czhkk.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**naikonsha** · 17.02.2010, 03:01

Карантин прислал. Выполнил скрипт в avz перезагрузил. Включился и вдруг на секунду появилась cmd.exe и закрылась. На диске C образовался китаец и компания

. Пошел на страничку Dr.web скачать последний cureit но вот не задача на сайты антивирусов и на ваш перестал заходить. Кое как скачал через ftp проверил и вот что выдало

и ещё парочку Win32.HLLW.Shadow.based. Начитавшись статеек понял что это все же этот kido. Скачал Kido killer, F-Downadup, FSMRT не помгло не чего не нашел. Кое как разобрался с загрузкой антивирусных сайтов вроде пока работает. Ксате в avz в инфекциях Virus=Net-Worm.Win32.Kido.cu

**thyrex** · 17.02.2010, 20:45

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\10.scr','');
 QuarantineFile('\\?\globalroot\systemroot\system32\htef2p0.exe','');
 QuarantineFile('C:\WINDOWS\system32\b9b6985c.exe','');
 TerminateProcessByName('c:\windows\system32\drivers\czhkk.exe');
 QuarantineFile('c:\windows\system32\drivers\czhkk.exe','');
 TerminateProcessByName('c:\windows\avp.exe');
 QuarantineFile('c:\windows\avp.exe','');
 TerminateProcessByName('c:\windows\acp.exe');
 QuarantineFile('c:\windows\acp.exe','');
 DeleteFile('c:\windows\acp.exe');
 DeleteFile('c:\windows\avp.exe');
 DeleteFile('c:\windows\system32\drivers\czhkk.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apv');
 DeleteFile('C:\WINDOWS\system32\b9b6985c.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\htef2p0.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\10.scr');
QuarantineFile('C:\r1z3n7j3q4d6.exe','');
 DeleteFile('C:\r1z3n7j3q4d6.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

**naikonsha** · 17.02.2010, 23:24

Выполнил скрипт. Карантин отослал.
Новые логи.

**thyrex** · 18.02.2010, 00:03

Выполните скрипт в AVZ

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\48.scr','');
 QuarantineFile('C:\WINDOWS\system32\36.scr','');
 QuarantineFile('C:\WINDOWS\system32\14.scr','');
 DeleteFile('C:\WINDOWS\system32\14.scr');
 DeleteFile('C:\WINDOWS\system32\36.scr');
 DeleteFile('C:\WINDOWS\system32\48.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи (лог gmer не нужно)

**naikonsha** · 18.02.2010, 00:43

Выполнил скрипт. Карантин отослал.
Новые логи.

**thyrex** · 18.02.2010, 01:05

Обновления, вышедшие после SP3, установлены? Вряд ли. В логах периодически возникает Кидо

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\eccde618.exe,C:\WINDOWS\system32\e86f79d2.exe,C:\WINDOWS\system32\7582a7f0.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\e86f79d2.exe','');
 QuarantineFile('C:\WINDOWS\system32\eccde618.exe','');
 TerminateProcessByName('c:\windows\avp.exe');
 DeleteFile('c:\windows\avp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apv');
 DeleteFile('C:\WINDOWS\system32\eccde618.exe');
 DeleteFile('C:\WINDOWS\system32\e86f79d2.exe');
QuarantineFile('C:\WINDOWS\system32\7582a7f0.exe','');
 DeleteFile('C:\WINDOWS\system32\7582a7f0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

**naikonsha** · 18.02.2010, 01:19

Да верно обновлений нет. Устанавливаю обновление с Microsoft Update. Логи пришлю после обновления системы.

**naikonsha** · 18.02.2010, 06:01

Установил все предлагаемые обновления Microsoft Updeter. Далее выполнил скрипт HiJack выполнил скрипт в AVZ компьютер перезагрузился. Начал делать новые логи запустил AVZ он очень очень долго запускался я уже молчу про выполнение скрипта при открытии диспечара задач обнаружил процесс accp.exe который забивает ЦП 100%.

Пришлось завершать процесс и провадить лог без него. Не подскажите что это за процесс ?. Он грузиться после перезагрузки так вроде висит спокойно но когда запускаю AVZ загружает ЦП на 100%. Обновил базы AVZ сделал лог который обнаружил какой то Trojan.Win32.Koblu.cex и удалил его. Карантин выслал. Новые логи.

И ещё вот эти друзья меня удевляют в папке system32 у них у всех производитель тупо набор знаков.

P.S. Я конечно не такой про ну так к сведенью может это имеет значение к моей теме. Открыл утилиту APS "Система обнаружения сканирования портов" и вот что он мне выдал

**thyrex** · 18.02.2010, 18:03

Запускаем тяжелую артиллерию

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**naikonsha** · 18.02.2010, 23:16

Объясните как ей пользоваться ? Сначало я пытался скачать Dr.Wеb выдавал что типо это BATCH virus какой то. Потом отключил Dr.Web сохранил ярлык на рабочий стол закрыл всё программы браузеры запустил.... он мне написал что чего то не хватает типо перезагрузите компьютер я перезагрузл заного всё выключил запустил и вот он мне какую ошибку выдает

после нажатия OK удаляеться ярлык этой программы.... Вообще не пойму можно по подробней.

**thyrex** · 19.02.2010, 00:25

Подозрение на файловый вирус Virut

Проверьтесь так http://virusinfo.info/showpost.php?p=306441&postcount=2

**naikonsha** · 19.02.2010, 07:18

Проверил LiveCD не кого конечно он Virut'a не нашел. Зато нашел какие то картинки в формате jpg Win32.HLLW.Shadow.based и ещё парочку Trojan.Siggen 1.579, Trojan.Siggen 1.627, Trojan.Siggen 1.668. Вобщем вот новые логи щяс попытаюсь скачать заного ComboFix

.

Вообщем также ошибка что и была. Правдо терь появилось окошко в начале типо нажать Yes или No нажал Yes и опять такая же выскочила. Может ещё логнуть в mbam ?

**naikonsha** · 19.02.2010, 23:22

Какие дальнейшие инструкции будут ?

**thyrex** · 19.02.2010, 23:31

Попробуйте скачать ComboFix eщe раз с сайта, указанного на картинке, и просканировать систему

Сообщение от naikonsha

Может ещё логнуть в mbam ?

Пробуйте

**naikonsha** · 20.02.2010, 10:47

mbam лог. А ComboFix всё равно пишет тоже самое. Там нашло Backdoor.IRCBot я слышал есть прогграмка SDfix может быть она поможет ?

**thyrex** · 20.02.2010, 23:58

Удалите в МВАМ

Код:

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows system info serivce (Backdoor.IRCBot) -> No action taken.

**naikonsha** · 21.02.2010, 16:38

Удалил. Что дальше ?

Пропадают аудиоустройства в стандартном микшере системы. (заявка № 71372)

Опции темы

Пропадают аудиоустройства в стандартном микшере системы.

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Звук и аудиоустройства пропадают.

Пропадают иконки

Пропадает сеть и аудиоустройства

В стандартном режиме комп не грузится, выскакивает синий экран при подключении к интернету

Пропадают аудиоустройства (Realtek97) и т.п.

Ваши права в разделе