Информер - смс на номер 1350

[Thurse]

Здравствуйте.
Вчера выскочило сообщение о блакировке доступа в сеть и об отправке смс на номер 1350. Операционная система Win XP SP2. Выполнил все указания по проверке, логи прилагаю. Помогите..

[snifer67]

1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3.Сделаете новые логи.

[Thurse]

Все сделал как написали, swenum.sys переписывал с другого ПК, логи прилагаю

[thyrex]

Пофиксите в HiJack

Код:

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\autores.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\autores.exe','');
 QuarantineFile('C:\WINDOWS\system32\331.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\~TM1261.tmp','');
 QuarantineFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
 QuarantineFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qye17.sys','');
 DeleteService('Qye17');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pwd40.sys','');
 DeleteService('Pwd40');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw38.sys','');
 DeleteService('Jqw38');
 QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
 DeleteService('i386si');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt28.sys','');
 DeleteService('Gnt28');
 DeleteService('Gnt06');
 QuarantineFile('C:\WINDOWS\system32\Drivers\psbmjzbu.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gnt28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gnt06.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jqw38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pwd40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qye17.sys');
 DeleteFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\siszyd32.exe');
 DeleteFile('C:\WINDOWS\TEMP\~TM1261.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
 DeleteFile('C:\WINDOWS\system32\331.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
 DeleteFile('C:\WINDOWS\autores.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 DeleteFile('WLCtrl32.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

[Thurse]

Все действия выполнил, карантин отправил, логи прилагаю

[AndreyKa]

Обновите базы AVZ.
Сделайте новые логи AVZ.

[Thurse]

Обновил, логи прилагаю

[AndreyKa]

Не видно ничего подозрительного. Проблема решена?

[Thurse]

Проблема с вирусом решена, спасибо огромное за помощь.
Вот только звук пропал, везде и совсем((

[AndreyKa]

Скорее всего слетел "Перечеслитель программных устройств Plug And Play". Если его нет в Диспетчере Устройств, то надо:
1) Скопировать в папку \temp файл \%windir%\system32\inf\machine.inf
2) Скопировать в папку \temp файл \%windir%\system32\drivers\swenum.sys
3) Скопировать в папку \temp файл \%windir%\system32\streamci.dll
4) Открыть в Блокноте файл \temp\machine.inf
5) Удалить строки, содержащие ExcludeFromSelect=*
6) Сохранить файл machine.inf
7) Добавить новое устройство (в качестве источника указать "Установить с диска" и файл \temp\machine.inf).
8 ) Добавить устройство Перечеслитель программных устройств Plug And Play
9) Перегрузиться и проверить работу звука.

Источник: http://forum.ixbt.com/topic.cgi?id=22:59959

[Thurse]

Все действия выполнил, звука по прежнему нет, а теперь еще плюс компьютер стал "рывками" работать, зависает после определенного количества действий, а через какое-то время все быстро делает, потом поработает нормально и опять "затихает"..

Допускаю что не верно выполнил данный пункт:
5) Удалить строки, содержащие ExcludeFromSelect=*
Я удалил именно эту строку, надо было удалить все строки с * или сами *, не понял этого.

Если это уже не в этот форум пойму, заранее спасибо за помошь.

[AndreyKa]

Кроме переустановки Windows в режиме восстановления:
http://support.microsoft.com/kb/315341/ru (см. Способ 2) посоветовать больше ничего не могу.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 32
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\оля\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bnq ( DrWEB: Trojan.Botnetlog.124, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan )
  2. c:\windows\temp\~tm1261.tmp - Trojan-Dropper.Win32.Agent.bjpb ( DrWEB: Trojan.MulDrop.53398, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Small-NDO [Trj] )