Здравствуйте.
Вчера выскочило сообщение о блакировке доступа в сеть и об отправке смс на номер 1350. Операционная система Win XP SP2. Выполнил все указания по проверке, логи прилагаю. Помогите..
Здравствуйте.
Вчера выскочило сообщение о блакировке доступа в сеть и об отправке смс на номер 1350. Операционная система Win XP SP2. Выполнил все указания по проверке, логи прилагаю. Помогите..
1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3.Сделаете новые логи.
Все сделал как написали, swenum.sys переписывал с другого ПК, логи прилагаю
Пофиксите в HiJack
Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: Shell=explorer.exe rundll32.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\autores.exe,C:\WINDOWS\system32\sdra64.exe, O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\autores.exe',''); QuarantineFile('C:\WINDOWS\system32\331.exe',''); QuarantineFile('C:\WINDOWS\TEMP\~TM1261.tmp',''); QuarantineFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); QuarantineFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qye17.sys',''); DeleteService('Qye17'); QuarantineFile('C:\WINDOWS\System32\Drivers\Pwd40.sys',''); DeleteService('Pwd40'); QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw38.sys',''); DeleteService('Jqw38'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt28.sys',''); DeleteService('Gnt28'); DeleteService('Gnt06'); QuarantineFile('C:\WINDOWS\system32\Drivers\psbmjzbu.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Gnt28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gnt06.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jqw38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pwd40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qye17.sys'); DeleteFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\siszyd32.exe'); DeleteFile('C:\WINDOWS\TEMP\~TM1261.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32'); DeleteFile('C:\WINDOWS\system32\331.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme'); DeleteFile('C:\WINDOWS\autores.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); DeleteFile('WLCtrl32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32','DLLName'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все действия выполнил, карантин отправил, логи прилагаю
Обновите базы AVZ.
Сделайте новые логи AVZ.
Обновил, логи прилагаю
Не видно ничего подозрительного. Проблема решена?
Проблема с вирусом решена, спасибо огромное за помощь.
Вот только звук пропал, везде и совсем((
Источник: http://forum.ixbt.com/topic.cgi?id=22:59959Скорее всего слетел "Перечеслитель программных устройств Plug And Play". Если его нет в Диспетчере Устройств, то надо:
1) Скопировать в папку \temp файл \%windir%\system32\inf\machine.inf
2) Скопировать в папку \temp файл \%windir%\system32\drivers\swenum.sys
3) Скопировать в папку \temp файл \%windir%\system32\streamci.dll
4) Открыть в Блокноте файл \temp\machine.inf
5) Удалить строки, содержащие ExcludeFromSelect=*
6) Сохранить файл machine.inf
7) Добавить новое устройство (в качестве источника указать "Установить с диска" и файл \temp\machine.inf).
8 ) Добавить устройство Перечеслитель программных устройств Plug And Play
9) Перегрузиться и проверить работу звука.
Все действия выполнил, звука по прежнему нет, а теперь еще плюс компьютер стал "рывками" работать, зависает после определенного количества действий, а через какое-то время все быстро делает, потом поработает нормально и опять "затихает"..
Допускаю что не верно выполнил данный пункт:
5) Удалить строки, содержащие ExcludeFromSelect=*
Я удалил именно эту строку, надо было удалить все строки с * или сами *, не понял этого.
Если это уже не в этот форум пойму, заранее спасибо за помошь.
Кроме переустановки Windows в режиме восстановления:
http://support.microsoft.com/kb/315341/ru (см. Способ 2) посоветовать больше ничего не могу.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\оля\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bnq ( DrWEB: Trojan.Botnetlog.124, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan )
- c:\windows\temp\~tm1261.tmp - Trojan-Dropper.Win32.Agent.bjpb ( DrWEB: Trojan.MulDrop.53398, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Small-NDO [Trj] )
Уважаемый(ая) Thurse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.