Junior Member
Вес репутации
56
TDSSserv [Trojan-Mailfinder.Win32.Small.y, Trojan.Win32.Agent.aqfk
]
Здравствуйте!
При загрузке как в безопасном так и в обычном режиме windows XP в большинстве случаев выскакивает синий экран.
При сканировании системы с помощью gmer появилось сообщение об инфекции TDSSserv.sys
В папке C:\Settings arm80.dll, arm arm86.dll, arm64.dll
В папке C:\Windows\Temp плодятся *.sys и *.tmp (например 1.sys, 1.tmp и т.д.). На эти файлы, кстати, ссылаются сообщения с синего экрана.
В списке uPNP устройств TDSSserv.sys
Удалил с помощью avenger TDSSserv (описано в http://www.myantispyware.com/2008/08...virus-xp-2008/ )
Сканирую с помощью MalwareBytes Anti-malware (MBAM) - результат: система чиста. Перезагружаюсь - синий экран.
Файлы в C:\Windows\Temp продолжают появляться.
Проверил с помощью CureIt: удалил файлы *.sys и *.tmp из C:\Windows\Temp (при чем не все). Перезагрузка - синий экран, удаленные файлы + новые в каталоге C:\Windows\Temp
Нод32, Каспер ничего не видят. Базы - сегодняшние.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
BC_DeleteSvc('Yjt63');
BC_DeleteSvc('Xis28');
BC_DeleteSvc('Uuu85');
BC_DeleteSvc('Upu06');
BC_DeleteSvc('Uka28');
BC_DeleteSvc('Qql03');
BC_DeleteSvc('Pfu77');
BC_DeleteSvc('Nxi14');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys','');
BC_DeleteSvc('Nss06');
BC_DeleteSvc('Mwh63');
BC_DeleteSvc('Mmm44');
BC_DeleteSvc('Lvl58');
BC_DeleteSvc('Kpf44');
BC_DeleteSvc('Jyy25');
BC_DeleteSvc('Inx33');
BC_DeleteSvc('Gqb63');
BC_DeleteSvc('Fuu47');
BC_DeleteSvc('Ffu66');
BC_DeleteSvc('Ccc11');
BC_DeleteSvc('Bgv63');
DeleteFile('C:\WINDOWS\System32\Drivers\Bgv63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ccc11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ffu66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gqb63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gbv88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fuu47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Inx33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jyy25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kpf44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lvl58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mmm44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mwh63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nss06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nxi14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Otj22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pfu77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qql03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uka28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Upu06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uuu85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xis28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yjt63.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Загрузить если что-то попадет в карантин.
Вот эту парочку добавить в карантин и прислать.
C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsdel.ex e
??\C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsdel .dat
Папку Temp почистить.
Последний раз редактировалось PavelA; 29.12.2008 в 11:43 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
Скрипт выполнил.
<Вот эту парочку добавить в карантин и прислать.
<C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsdel.e x e
<??\C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPYWAR~1\sp_rsde l .dat
нет на диске
В папке Temp удаляются все файлы кроме двух (при последней загрузке это были 5e.tmp, 5f.tmp)
Вложения
Последний раз редактировалось PavelA; 29.12.2008 в 13:32 .
Карантин грузить через красную ссылку http://virusinfo.info/upload_virus.php?tid=36491 Отсюда удалить срочно!!
Добавлено через 5 минут
Да, и еще карантин сделать по Правилам через AVZ. Зайти в промотр карантина, отметить все, нажать кнопочку вверху.
virus.zip прислать через красную ссылку.
Добавлено через 2 минуты
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys','');
BC_DeleteSvc('nsysaudm');
QuarantineFile('C:\WINDOWS\system32\drivers\fyldm.sys','');
BC_DeleteSvc('ippwg');
DeleteFile('C:\WINDOWS\TEMP\5B.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\fyldm.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\nsysaudm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось PavelA; 29.12.2008 в 12:44 .
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
Извиняюсь, страничка правил до конца не загрузилась. Каким образом удалить файл из вложений?
Вложения
Выполните скрипт:
Код:
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки повторите логи.
@Rene-gad это уже сделано.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
56
после выполнения скрипта
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
Вложения
Давайте лог МБАМ - только ничего сами не удаляйте!!! - в студию. Базы обновите.
@PavelA
Сорри, не увидел...
Junior Member
Вес репутации
56
00-24-54 - первое сканирование
20-16-01 - проверка выполнена сейчас
Вложения
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\u ti0ote5 (Worm.Bagel) - вот это порадовало.
Это драйвер от AVZ.
Да и название малваре.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Напишите сюда полные названия всех файлов, находящихся в каталоге:
C:\Settings\
Junior Member
Вес репутации
56
arm64.dll
arm86.dll
desktop.ini
Был еще arm80.dll, его убил КурИт
Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Settings\arm86.dll','');
QuarantineFile('C:\Settings\arm64.dll','');
DeleteFile('C:\Settings\arm64.dll');
DeleteFile('C:\Settings\arm86.dll');
ExecuteSysClean;
RebootWindows(true);
end.
После карантин прислать согласно правилам и сделать virusinfo_syscheck лог. Останутся ли проблемы?
Junior Member
Вес репутации
56
Ребут прошел без экрана смерти, после загрузки системы в папке C:\Windows\Temp\ не появилось новых файлов. Все файлы *.sys и *.tmp, находящиеся до этого в папке C:\Windows\Temp\ удалось удалить, что обнадеживает. Появилось новое устройство (раньше в диспетчере устройств все устройства были опознаны). Лог и карантин высланы.
Вложения
В логах чисто. По-удаляйте все тулзы, что использовались - Gmer, MBAm. Удалите AVZ PM (в меню AVZ). Будут проблемы - обращайтесь, поможем
Junior Member
Вес репутации
56
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 120 В ходе лечения обнаружены вредоносные программы:
c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc10.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc102.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc109.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc11.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc116.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc12.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc122.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc138.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc14.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc144.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc17.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc22.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc26.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc28.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc30.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc32.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc36.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc37.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc41.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc43.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc44.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc45.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc5.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc52.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc58.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc59.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc6.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc62.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc63.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc67.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc69.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc70.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc75.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc84.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc90.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\recycler\\s-1-5-21-1606980848-484061587-725345543-1003\\dc95.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\settings\\arm64.dll - Trojan.Win32.Agent.aqfk (DrWEB: Trojan.MulDrop.29551) c:\\settings\\arm86.dll - Trojan-GameThief.Win32.Agent.r (DrWEB: Trojan.MulDrop.29550) c:\\windows\\temp\\a.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\c.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\e.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\1c.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\1f.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\1.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\10.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\12.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\13.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\16.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\17.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\19.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\2b.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\2c.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\2.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\21.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\23.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\25.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\28.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\3b.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\3e.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\33.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\36.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\4a.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\4f.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\43.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\47.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\5b.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\5e.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\52.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\57.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182) c:\\windows\\temp\\6.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182)