Показано с 1 по 18 из 18.

помогите! окопался Rootkit.Win32.TDSS.a... (заявка № 47361)

  1. #1
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55

    Thumbs up помогите! окопался Rootkit.Win32.TDSS.a...

    Частенько подвисает и бывает выпадает в синий экран смерти =(
    Вложения Вложения
    Последний раз редактировалось newbie21; 06.06.2009 в 19:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    "Пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{04D81105-0886-45FD-A97A-EDDF83678FB8}: NameServer = 85.255.115.234,85.255.112.154
    O17 - HKLM\System\CCS\Services\Tcpip\..\{36AE740B-0B00-4D45-8E9C-2778D30704AE}: NameServer = 85.255.115.234,85.255.112.154
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.43,85.255.112.165
    O17 - HKLM\System\CS1\Services\Tcpip\..\{04D81105-0886-45FD-A97A-EDDF83678FB8}: NameServer = 85.255.115.234,85.255.112.154
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.43,85.255.112.165
    O17 - HKLM\System\CS2\Services\Tcpip\..\{04D81105-0886-45FD-A97A-EDDF83678FB8}: NameServer = 85.255.115.234,85.255.112.154
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.43,85.255.112.165
    O17 - HKLM\System\CS3\Services\Tcpip\..\{04D81105-0886-45FD-A97A-EDDF83678FB8}: NameServer = 85.255.115.234,85.255.112.154
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.43,85.255.112.165
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
    BC_Importall;
    ExecuteSysClean;
     SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=47361
    Повторите логи.

    Если у вас пропадёт интернет, то в настройках сетевого подключения пропишите адреса DNS-серверов, выданные вашим провайдером.

  4. #3
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55
    карантин отправил
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Фиксим
    Код:
    R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
    O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
    Скрипт
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\drivers\msqpdxkjtappbt.sys','');
     DeleteFile('c:\windows\system32\drivers\msqpdxkjtappbt.sys');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Шлём карантин. Повторяем логи.

  6. #5
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55
    карантин отправлен...
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    такой лог http://www.gmer.net/ сделайте

  8. #7
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55
    Вложения Вложения
    • Тип файла: zip gmer.zip (2.9 Кб, 9 просмотров)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сохраните как 1.bat в папке где находится gmer запустите
    Код:
    gmer.exe -del service msqpdxserv.sys
    gmer.exe -del file "C:\WINDOWS\system32\drivers\msqpdxkjtappbt.sys"
    gmer.exe -del file "C:\WINDOWS\system32\msqpdxbwucbfoe.dll"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@start"                                                                                                                            
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@type"                                                                                                                    
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@imagepath"                                                                                                                        
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@group"                                                                                                                             
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules"                                                                                                                            
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@msqpdxserv"                                                                                                                
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@msqpdxl"       
    gmer -reboot
    повторите последний лог
    Последний раз редактировалось V_Bond; 10.06.2009 в 20:36.

  10. #9
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55

    все еще сидит
    Вложения Вложения
    Последний раз редактировалось newbie21; 08.06.2009 в 22:41.

  11. #10
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55
    up

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    еще раз батник запустите , я его подправил

  13. #12
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55
    Спасибо большое!

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Я так понимаю, надо лог повторить.

  15. #14
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55
    Цитата Сообщение от newbie21 Посмотреть сообщение
    Спасибо большое!
    думал, что всё каспер ругаться перестал... однако через некоторое время опять дал о себе знать...
    Вложения Вложения

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    1. Сначала дочистим следы предыдущего

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\msqpdxserv.sys"
    gmer -reboot
    И запустите cleanup.bat

    2. Что не нравится антивирусу?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    9
    Вес репутации
    55
    1. готово
    2. уже видимо все нравится... тишина и покой!

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Установите Internet Explorer 8.
    Установите Adobe Acrobat 9.1 или удалите старый.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\msqpdxkjtappbt.sys - Trojan.Win32.TDSS.agef ( BitDefender: Gen:Rootkit.Heur.4018E7F7F7 )


  • Уважаемый(ая) newbie21, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab
      От Kuzz в разделе Вредоносные программы
      Ответов: 26
      Последнее сообщение: 07.11.2010, 18:56
    2. Помогите с rootkit.win32.tdss.d
      От kav76 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.06.2010, 08:54
    3. Rootkit.Win32.TDSS.d
      От melodicsun в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 28.04.2010, 22:59
    4. rootkit.win32.tdss.d
      От pdesjardins в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 21.04.2010, 21:34
    5. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
      От Shanna в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2010, 17:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00040 seconds with 20 queries