description of problem (заявка №95204)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
had a rootkit TDSS that was successfully cleaned with your rescue disk...since then my system has been taken over by a whole bunch of programs in my startup directory. Can't get rid of them because registry is blocked. I mean, there are like 50 startup items that got added, all of them malicious looking with filenames similar to windows filenames (most are located in my application data folder though)

Also every time I run anything, it seems almost as if something is trying to attach a key logger or something onto the process that I'm running. So I can run Notepad for instance, and my firewall will come up saying notepad is trying to monitor my input, and right after that, firefox will come up trying to act as a server..etc..etc....seems all these little startup programs are all trying to set Run or phone home. The IP address that is often the destination is 95.211.72.209

There is all kinds of other weird stuff going on as well.

I've run your rescue boot disk twice....then once into Windows I have run Zone Alarm and Kaspersky both cleaned things both ended with all good.

When I try to play any video, my computer will instantly freeze and reboot
Дата обращения: 05.07.2011 7:24:46
Номер заявки: 95204

[CyberHelper]

07.07.2011 8:00:06 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\\WINXP\\avp.exe - Trojan-Downloader.Win32.Suurch.csz
   
   • размер: 16384 байт
   • детект других антивирусов: DrWEB 6.0: Подозрение DLOADER.Trojan; BitDefender: Зловред Generic.Malware.SFDdld.D16F8072; NOD32: Подозрение Win32/Agent.SDL trojan; Avast4: Зловред Win32:Ertfor-D [Trj]
2. C:\\WINXP\\mdbcopi.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 114688 байт
   • версия: "1.0.0.012"
   • копирайты: "Copyright © 1998-1999 Voxware, Inc."
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.Hiloti.based.2; BitDefender: Зловред Trojan.Generic.KDV.274264
3. C:\\WINXP\\svchost.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 28672 байт
   • версия: "1.0.0.0"
   • копирайты: "Copyright © Microsoft 2011"
   • детект других антивирусов: BitDefender: Зловред Gen:Heur.MSIL.Krypt.2; NOD32: Подозрение Win32/Agent.EZQNGUO trojan; Avast4: Зловред Win32:Malware-gen
4. C:\\WINXP\\system32\\AvidStartup.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 1536000 байт
   • версия: "2.11.1"
   • копирайты: "Copyright © 1999-2005"
5. C:\\WINXP\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
   
   • размер: 436792 байт
   • версия: "1.74.0.0 built by: WinDDK"
   • копирайты: "Copyright (C) 2004"
6. C:\\Documents and Settings\\Owner\\Application Data\\MouseDriver.bat - подозрительный, обрабатывается вирлабом
   
   • размер: 105 байт
7. C:\\WINXP\\avp.exe - Trojan-Downloader.Win32.Suurch.csz
   
   • размер: 16384 байт
   • детект других антивирусов: DrWEB 6.0: Подозрение DLOADER.Trojan; BitDefender: Зловред Generic.Malware.SFDdld.D16F8072; NOD32: Подозрение Win32/Agent.SDL trojan; Avast4: Зловред Win32:Ertfor-D [Trj]
8. C:\\WINXP\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
   
   • размер: 436792 байт
   • версия: "1.74.0.0 built by: WinDDK"
   • копирайты: "Copyright (C) 2004"

[CyberHelper]

07.07.2011 8:00:59 лечение успешно завершено