Блокируется модем

Помогите пожалуйста устранить проблему: снова появилась проблема, существовавшая до установки антивируса Касперского (и с установкой исчезла) - блокирование
модема. При каждом входе в Интернет антивирус сигнализирует опасность:
"Процесс пытается внедриться в другой процесс. Такое поведение характерно
для некоторых вредоносных программ. Потенциально опасное ПО: Invader.
Процесс (PID:1836)", удаляется троянская программа Backdoor.win32.small.hqi
(c:\windows\Temp\BN6.tmp) и через 5-10 мин. все приложения передергивает и
выбрасывает из Интернета ("модем занят другим приложением или не настроен") и помогает только
перезагрузка, далее все повторяется, причем паралельно с модемом блокируется аудиоустройство - система его просто не видит. Все поиски, в том числе в безопасном
режиме и с помощью утилит не приносят результатов. Попробовал обновить
антивирус до новой версии 2009 - тот же результат. Нет возможности
пользоваться Интернетом. Подскажите как решить проблему!

[COLOR="Red"]Скачайте AVZ, который у меня в подписи и далее работайте только с ним![/COLOR]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xpvigv32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system32\TPSMain.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\Temp\BN5.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN6.tmp','');
DeleteFile('C:\WINDOWS\system32\xpvigv32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati0xfxx');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=40122[/URL]

3. Повторите логи.

Карантин выслал. А что значит 3. Повторите логи?

[quote]virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log [/quote]
сделать новые файлы как в первом сообщении , только с тем авз который модифицированный из подписи ;)

но проблема осталась...

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteService('ati0xfxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati0xfxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

Походу никуда этот товарищ из sysytem32 не делся...

Проблема осталась - все тоже опасное ПО и выбрасывает из инета...

virusinfo_cure.zip уберите! (убирать в личном кабинете -> "Вложения")
Прикрепите лог virusinfo_[B]sys[/B]check.zip

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\xpvigv.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys');
DeleteFile('xpvigv.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
DeleteFile('C:\WINDOWS\Temp\BN7.tmp');
DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
DeleteFileMask('%tmp% ','*.* ',true );
DeleteService('ati0xfxx');
BC_ImportDeletedList;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati0xfxx');
BC_DeleteSvc('FCI');
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Пришлите карантин.
Radmin сами устанавливали?
Логи повторите.

Удалил и загрузил.

Карантин отправил, новые логи закачал. Radmin сам не устанавливал, даже не очень в курсе что это такое:?

все еще выбрасывает из инета:(

Сделайте полную проверку CureIT и повторите логи...

Сделал полную проверку CureIT в безопасном режиме, новые логи...

бл....,все то же - вредоносное ПО,удалить, и выбрасывает из инета...ток снова перезагружаться:(

Не ндравится мне этот Radmin.. хоть его и нет вроде бы.
Ну раз уж вы не знаете, что это такое, то
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys');
DeleteFile('C:\WINDOWS\system32\rserver30\RServer3.exe');
BC_ImportDeletedList;
BC_DeleteSvc('RServer3');
BC_DeleteSvc('raddrvv3');
SetAVZPMStatus(True);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Логи повторите. Сейчас глянем, мб что новое высветится.

Карантин выслал, логи прикрепил. Посмотрите пожалуйста, может чет координальное предпринять...

После последних карантина и логов пока из инета не выбрасывало, но после входа в инет ломится та же хр.. и пару раз комп сам перезагружался.. Это нормально? может там еще что-то сидит?

[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [B]ICESword[/B][/URL]C:\WINDOWS\system32\Drivers\ati0xfxx.sys - force delete
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BNA.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN9.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN6.tmp','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys','');
DeleteService('tcpsr');
DeleteService('ati0xfxx');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys','');
QuarantineFile('C:\WINDOWS\system32\xpvigv.dll','');
DeleteFile('C:\WINDOWS\system32\xpvigv.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
DeleteFile('C:\WINDOWS\Temp\BN9.tmp');
DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
DeleteFile('C:\WINDOWS\Temp\BNB.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

А скрипт выполнять в AVZ или в ICESWORD?

скрипт естественно в авз

Карантин выслал, новые логи прикрепил. Посмотрите, что еще можно сделать... А что делать с ICESword?

[url]http://virusinfo.info/showthread.php?t=17228[/url]
[B]все[/B] ! рекомендации из поста 19 заново ...

указанный файл удалил с помощью ICESword, новые логи. что там есть что-то еще, что дальше делать?

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteService('ati0xfxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xfxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('xpvigv.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
DeleteFile('C:\WINDOWS\Temp\BNC.tmp');
DeleteFile('C:\WINDOWS\Temp\BND.tmp');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati0xfxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

Скрипт выполнил, новые логи. пока вирус себя не проявляет как прежде... там что-то осталось?

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: xpvigv - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zxmktzqp.dll','');
DeleteFile('C:\WINDOWS\system32\zxmktzqp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: xpvigv - C:\WINDOWS\
[/code]


Подскажите как профиксить вHijackThis?!

[url]http://virusinfo.info/showthread.php?t=4491[/url]

Товарищи, хэлперы! после последней выполненной инструкции меня снова стало выбрасывать из инета, причем сразу и приходиться отправлять карантин и последние логи с другого компа. думал, эта проблема уже ушла, так как не выбрасывало уже почти 2 дня. Помогите пожалуйста:(

не влезло в предыдущее письмо

zxmktzqp.dll - [B]Net-Worm.Win32.Kido.ih[/B] (удален).
Установите SP3 + последующие обновления.

А что такое SP3 и где его взять чтоб установить?

[QUOTE=Oggyz;360998]А что такое SP3 и где его взять чтоб установить?[/QUOTE]
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e[/url] iso-файл для компактдиска
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4[/url] - сетап-файл

Спасибо, установил SP3 - пока не выбрасывает, 5 мин. Дело было именно в удаленном файле? из новых логов какие действия необходимо предпринять?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

После установки SP3, Касперский мне выдал, что срок действия лицензии истек (хотя у меня лицензион. до января 2010). Это не последствия действия обновлений?

[QUOTE=Oggyz;361053]
После установки SP3, Касперский мне выдал, что срок действия лицензии истек (хотя у меня лицензион. до января 2010). Это не последствия действия обновлений?[/QUOTE]проверьте системную дату. Если в порядке - повторите активацию, если не поможет - обратитесь в техподдержку ЛК.

В том то и дело, что Касперский мне рассказал что даты у нас не соответствуют - после установки обновлений у меня дата на компе стала 01.01.2070 - меняю в ручную дату, все нормально, но через 10 мин. дата снова перескакивает на прежнюю. Что делать? это действие SP3 и как с этим бороться?

[QUOTE=Oggyz;361087]после установки обновлений у меня дата на компе стала 01.01.2070 [/QUOTE]У Вас еще есть вирусы. Повторите 3 лога.

После проведения 1-го лога после перезагрузки вообще не могу зайти на комп - стоит какая-то учетная запись Admin и не дает войти, даже не запрашивает никаких паролей -начинает загружать параметры и сразу выходит из профиля...и так во всех режимах, в том числе безопасном...даже не могу зайти чтоб выслать вам последний лог.. не подскажите что делать?

[QUOTE=Oggyz;361108]даже не могу зайти чтоб выслать вам последний лог.. не подскажите что делать?[/QUOTE]Если на диске еще 2-3 гига есть - установите 2-ю систему. Если есть Live CD - просканьте систему на вирусы с него

[quote=Oggyz;361108]так во всех режимах, в том числе безопасном...[/quote]
1. Загрузку "последней удачной конфигурации" пробовали?

2. Используя загрузочный CD, либо консоль восстановления, либо стороннюю ОС, скопируйте файл [B]C:\WINDOWS\system32\userinit.exe[/B] в папку [B]C:\WINDOWS [/B]. Если же в папке system32 такого файла не окажется, нужно восстановить его из дистрибутива или скопировать из здоровой ОС такой же версии.