-
Junior Member
- Вес репутации
- 53
backdoor.tdss.565 и не запускается востановление системы
вылезло окошко с рекламой об активации через смс, сделал проверку Dr. Web CureIt'ом в обычном режиме нашел кучю вирусов все удалил, кроме backdoor.tdss.565 пишет что обезврежен, закрываю CureIt запускаю еще раз тут же опять находит этот же backdoor.tdss.565, хотел сделать проверку в безопастном режиме, но он его не запускал воспользовался SafeBootKeyRepair запустился делаю проверку CureIt ненаходит тот бэкдор, хотел запустить востановление системы также невозможно... снова чистил CureItом в обычно режиме снова backdoor.tdss.565 - обезврежен... поскольку немогу не запустить востановление немогу и отключить, поэтому логи сделаны слегка не поправилам и сейчас компютер не имеет доступа в интернет ( пишу со второго ). в общем помогите избавиться от этого бэкдора и и как сделать работаюшим востановление...
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\drivers\aliserv3.sys','');
DeleteFile('D:\WINDOWS\System32\drivers\aliserv3.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
ой извеняюсь gamer.log дублируется есть в еще одном архиве...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\drivers\geyekrhepatssf.sys','');
DeleteFile('d:\windows\system32\drivers\geyekrhepatssf.sys');
QuarantineFile('d:\windows\system32\geyekrolesruxc.dll','');
DeleteFile('d:\windows\system32\geyekrolesruxc.dll');
QuarantineFile('d:\windows\system32\geyekrlhktmwbx.dll','');
DeleteFile('d:\windows\system32\geyekrlhktmwbx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится lrr6gmgn.exe (gmer)
Код:
lrr6gmgn.exe -del service geyekrvhpfthxb
lrr6gmgn.exe -del file "d:\windows\system32\drivers\geyekrhepatssf.sys"
lrr6gmgn.exe -del file "d:\windows\system32\geyekrolesruxc.dll"
lrr6gmgn.exe -del file "d:\windows\system32\geyekrvnnkdppo.dat"
lrr6gmgn.exe -del file "d:\windows\system32\geyekrlhktmwbx.dll"
lrr6gmgn.exe -del file "d:\windows\system32\geyekrmsbdviyl.dat"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrvhpfthxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\geyekrvhpfthxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\geyekrvhpfthxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\geyekrvhpfthxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\geyekrvhpfthxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\geyekrvhpfthxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\geyekrvhpfthxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\geyekrvhpfthxb"
lrr6gmgn.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Последний раз редактировалось thyrex; 24.10.2009 в 19:52.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
извеняюсь за свое незнание =)... но возможно ли такое что вы ошиблись и написали 'c:\windows\s... а у меня системный диск называется D... и возможно ли вот в этом месте поподробнее? еше раз извеняюсь...
Сообщение от
thyrex
Сохраните текст ниже как cleanup.bat в ту же папку, где находится lrr6gmgn.exe (gmer)
Код:
lrr6gmgn.exe -del service geyekrvhpfthxb
lrr6gmgn.exe -del file "c:\windows\system32\drivers\geyekrhepatssf.sy s"
lrr6gmgn.exe -del file "c:\windows\system32\geyekrolesruxc.dll"
lrr6gmgn.exe -del file "c:\windows\system32\geyekrvnnkdppo.dat"
lrr6gmgn.exe -del file "c:\windows\system32\geyekrlhktmwbx.dll"
lrr6gmgn.exe -del file "c:\windows\system32\geyekrmsbdviyl.dat"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrvhpf thxb"
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\geyekrvhpfthxb "
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\geyekrvhpfthxb "
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\geyekrvhpfthxb "
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\geyekrvhpfthxb "
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\geyekrvhpfthxb "
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\geyekrvhpfthxb "
lrr6gmgn.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\geyekrvhpfthxb "
lrr6gmgn.exe -rebootИ запустите cleanup.bat
-
Прошу прощения. Поправил скрипты в сообщении №5
Сообщение от
Keyn
возможно ли вот в этом месте поподробнее
Запустить Блокнот и скопировать скрипт в документ
Файл - Сохранить как...
Тип файла - Все файлы (*.*)
Имя файла - cleanup.bat
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
В общем при запуске cleanup пишет DeleteService: Параметр задан неверно. Потом An error.... не удается найти d:\windows\system32\drivers\geyekrhepatssf.sys... ну и все осталные файлы. возможно я уже удалил вот логи...
Вложение 171873
-
Лог чист. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
бэкдор больше не вылазит
Огромное спасибо!!!!! но еще не запускается востановление, пишет - Не удается найти указанный файл.
-
Восстановление системы: Отключено
Или у Вас оно не включается заново?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Как бы в первом посте я написал что слегка делал "не по поправилам" у меня в принцепи исчезла вкладка которая выделена на рисунке и немогу запустить, ни через - коману rstrui.exe, ни в ручную в обще кудато пропала функция вотановления... если зайти в Сервис и нажать запустить то пишет что "Не удается найти указанный файл", если в Службы найти Служба востановления системы > Запустить пишет что - "Служба востановления системы" на "Локальный компьютер" была запущена и затем остановлена....
Вложение 171884
-
Посмотрите здесь http://windowsxp.mvps.org/srpolicy.htm
На английском, но думаю поймете
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
в реестре даже строки нету такой "HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ SystemRestore" а в Групповой политике состояние было "не задана"... да и фиг с этим восстановлением... комп соседский у него дитя ток в игрушки играет . Вам большое спасибо за помощь.
Последний раз редактировалось Keyn; 25.10.2009 в 09:40.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\geyekrhepatssf.sys - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.214, BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:Alureon-CE [Rtk] )
- d:\windows\system32\drivers\aliserv3.sys - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.214, BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:Alureon-CE [Rtk] )
-