Подозрение на вирус

Printable View

26.04.2010, 10:38
d2d2

Подозрение на вирус

Добрый день.
Компьютер перестал определять новые флешки и новые usb-устройства (usb мышь. Сейчас стоит ps/2).
IE иногда (раз в день) самопроизвольно рефрешится.
В Hijackthis есть строчка
O23 - Service: Съемные ЗУ NtmsSvcUPS (NtmsSvcUPS) - Unknown owner - C:\WINDOWS\TEMP\rdl16.tmp.exe (file missing)
При удалении которой и повторном скане появляется снова.

Проверка cureit ничего не дала.
XP SP3 и KAV2010 9.0.0.736ru
26.04.2010, 11:10
PavelA

Сами делали:
[CODE]O4 - HKLM\..\Run: [HotKeysCmds] !C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] !C:\WINDOWS\system32\igfxpers.exe[/CODE]
--
26.04.2010, 16:11
d2d2

Да. Давно (более полугода назад), когда еще не знал, что это относится к видеодрайверам.
26.04.2010, 18:57
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\rdl16.tmp.exe','');
DeleteFile('C:\WINDOWS\TEMP\rdl16.tmp.exe');
DeleteService('NtmsSvcUPS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
27.04.2010, 16:24
d2d2

Карантин отправил - вроде пустой...
Логи прилагаю
27.04.2010, 17:17
thyrex

Что с проблемой?
04.05.2010, 23:24
d2d2

Проблема осталась. USB мышь и новые флешки не детектит. После логина выдает (это без вставленных флешек) подряд 2 сообщения "не удается загрузить программу для установки volume".
Для USB мышки другое сообщение: "не удается загрузить программу для установки mouse".

Проблема аналогичная
[url]http://virusinfo.info/showthread.php?t=49903[/url]
Т.е. не факт, что зловреды, но скорее всего в результате каких-то их действий...
Тему можно закрывать, если найду решение - открою отдельную тему.
Спасибо за помощь!
04.05.2010, 23:37
thyrex

Проверьте наличие файла [B]sfcfiles.dll[/B] в папке system32
17.05.2010, 15:04
d2d2

не было этого файла. Нашел его в
C:\WINDOWS\ServicePackFiles\i386
и
C:\WINDOWS\$NtServicePackUninstall$
скопировал в system32 - все заработало!
Огромное спасибо!
18.05.2010, 15:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]