Windows через раз реагирует на устройства ввода

[Striver]

Доброй ночи!

Наблюдается ряд серьёзных проблем. По порядку:

1. Периодически в трее возникает маленькое окошечко-notification с названием "Your System Might Be At Risk". Если его не закрыть, а просто нажать на него, открывается пара окон броузера и предалагется загрузка какого-то левого приложения (естественно, не загружал ни разу).
2. В четырёх запусках Windows из пяти после загрузки операционная система никак не реагирует на нажатия клавиш клавиатуры (только на клавишу с логотипом Windows - открывается меню "Пуск") и клики мыши. Приходится перезагружаться, причём ни один раз. Эта проблема может наступать и спонтанно, после нескольких часов работы компьютера.
3. Outpost регистрирует постоянное открытие портов процессом svchost.exe с момента загрузки Windows. Когда количество открытых портов доходит до 5000, Интернет перестаёт работать.

Прошу о помощи. Логи прилагаю.

[Kuzz]

1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Poq48.sys
и сделайте им Force Delete.

3. Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

4. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2D9694C7-6EE7-55E3-307D-E7AAD9E0D0BC}');
 QuarantineFile('C:\WINDOWS\system32:xzzy.exe','');
 DelBHO('{4B1054D8-43C1-451F-846C-8A70E775E156}');
 QuarantineFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 DeleteService('Rat36');
 DeleteService('Utv47');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\1041o.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Poq48.sys','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\atkctr.dll','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Poq48.sys');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\1041o.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\DOCUME~1\Paul\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\atkctr.dll');
 DeleteFile('C:\WINDOWS\system32:xzzy.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Poq48.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('Poq48');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22485

[Striver]

Kuzz, сделал всё, как было указано.

Карантин загрузил:

Файл сохранён как 080505_165008_virus_481f8110116cb.zip
Размер файла 305493
MD5 87707c740a348616b88f7e1dbef8ca12

После перезагрузки никаких проблем не возникало. Благодарю за скорую помощь!

[Kuzz]

То, что проблем не наблюдается - хорошо.
Но все же повторите логи: посмотрим, не упустили ли чего.

[Striver]

Прикладываю свежие логи.

Кстати, такой вопрос ещё возник: примерно неделю назад (как раз в то время, когда начали активно проявляться симптомы вируса) Avant и IE перестали печатать веб-страницы. После нажатия на "Печать" всплывает окно, которое пишет: "Ошибка при выполнении этой операции". Может ли это являться результатом активности вируса? (Проблема до сих пор не решена.)

[Гриша]

Отключите антивирус и интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');    
QuarantineFile('C:\WINDOWS\System32\Drivers\Utv47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rat36.sys','');
DeleteService('Rat36');
DeleteService('Utv47');
DeleteFile('C:\WINDOWS\System32\Drivers\Rat36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Utv47.sys');
DeleteFile('C:\WINDOWS\system32:xzzy.exe');
BC_ImportALL;
DelCLSID('{2D9694C7-6EE7-55E3-307D-E7AAD9E0D0BC}  ');
ExecuteSysClean;
BC_DeleteSvc('Rat36 ');
BC_DeleteSvc('Utv47 ');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22485

Повторите логи.

[Striver]

Антивирус у меня удалён, файрвол отключен, Интернет тоже.

Карантин загрузил:

Файл сохранён как 080506_083349_virus_48205e3da8ff7.zip
Размер файла 207596
MD5 44801882770a8ece5088f02a0d21d8f2

Логи прикладываю.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\atkctr.dll - Rootkit.Win32.Podnuha.bf (DrWEB: Trojan.DownLoader.56883)
  2. c:\\windows\\system32:xzzy.exe - Trojan.Win32.Inject.bet (DrWEB: Trojan.Inject.3329)
  3. c:\\windows\\system32:xzzy.exe:$data - Trojan.Win32.Inject.bet (DrWEB: Trojan.Inject.3329)