Показано с 1 по 13 из 13.

BackDoor.Tdss.565 (заявка № 58729)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    СПб
    Сообщений
    7
    Вес репутации
    26

    Thumbs up BackDoor.Tdss.565

    Drweb выдает Процесс в памяти: C:\Program Files\Promise\WebPAM\_jvm\bin\java.exe:156BackDoor.Tdss.565Обезврежен.
    Процесс каждый раз разный, в безопасном режиме комп не загружается и после выполнения скрипта из помощи по безопасному режиму тоже не загружается.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,444
    Вес репутации
    905
    1. Пофиксите в HJT:
    Код:
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll (file missing)
    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    O2 - BHO: FineBrowser Helper - {AA7BC78C-2AD5-4C6C-8014-B1F5E75CB0F4} - C:\Program Files\FineBrowser Freeware\FBIEPlugins.dll (file missing)
    O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll (file missing)
    O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\misec.dll','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\Installer\80268.msi');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

    Сделайте новые логи
    Последний раз редактировалось Никита Соловьев; 30.10.2009 в 02:31.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Лог гмера переделайте. Укажите все (включая системный диск), кроме реестра.

  5. #4
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    СПб
    Сообщений
    7
    Вес репутации
    26
    Скрипты выполнил, карантин отправил, логи переделал, Drweb продолжает говорить про Tdss.565, в безопасном режиме не загружается, одновременнно с сегодняшними сканированиями стали закачиваться и устанавливаться обновления windows, в итоге перестал загружаться и в обычном режиме
    Вложения Вложения
    Последний раз редактировалось Uand; 30.10.2009 в 21:14.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,444
    Вес репутации
    905
    Лог гмер сделан неверно. После быстрой проверки отметьте системный диск (обычно это С: )

  7. #6
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    СПб
    Сообщений
    7
    Вес репутации
    26
    Последовательность действий:
    0. выполнил рекомендации из второго поста, комп перебутился, отправил карантин
    1. Запустил гмер сделал лог.
    2. Отключил от интернета остановил Спайдера, Спайдермейл, выгрузил агента, запустил IE, отрубил интернет.
    3. Запустил AVZ сделал скрипт с лечением и исследованием системы.
    4. Перебутил комп, подключил инет, запустил AVZ сделал скрипт исследование системы
    5. Запустил HiJeckThis сделал лог
    6. Отправил все логи через форум
    7. Запустил Drweb Scanner при проверке памяти опять выдает про Tdss.565.
    8. В автоматическом режиме закачалось 24 обновления windows, стал выключать комп, они установились.
    9. Включил комп все работает, Запустил Drweb scanner, опять выдает про Tdss.565 в памяти.
    10. Решил что на сегодня хватит выключил комп, при этом он установил еще 5 каких-то обновлений windows.
    11. Решил попробовать загрузиться в безопасном режиме - не получилось.
    12. Загузиться в обычном режиме тоже не получилось.

    Могу попробовать установить систему поверх существующей, для продолжения борьбы с вирусом или лучше сначала сделать образ диска?

    Добавлено через 1 минуту

    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Лог гмер сделан неверно. После быстрой проверки отметьте системный диск (обычно это С: )
    Я отмечал диск С:, убирал галку только с реестра, делает минут 30
    Последний раз редактировалось Uand; 30.10.2009 в 21:26. Причина: Добавлено

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,444
    Вес репутации
    905
    убирал галку только с реестра
    А как же ж без реестра?! Гмер может работать и час и два
    Могу попробовать установить систему поверх существующей, для продолжения борьбы с вирусом или лучше сначала сделать образ диска?
    Пока лучше лог гмер

  9. #8
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    СПб
    Сообщений
    7
    Вес репутации
    26
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Лог гмера переделайте. Укажите все (включая системный диск), кроме реестра.
    Выполнял вот эти инструкции

    Добавлено через 55 секунд

    Цитата Сообщение от Venus Doom Посмотреть сообщение
    А как же ж без реестра?! Гмер может работать и час и два
    Пока лучше лог гмер
    Уже не могу сделать лог гмера, если прочитаете выше, система уже не загружается

    Добавлено через 5 минут

    Вообще диск в зеркальном рейде, могу еще отсоединить один винт и продолжить эксперименты с другим, господа гуру подскажите что лучше предпринять?
    Последний раз редактировалось Uand; 30.10.2009 в 21:42. Причина: Добавлено

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,444
    Вес репутации
    905
    Попробуйте записать на чистой машине Live CD, загрузиться и пролечиться с него

  11. #10
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    СПб
    Сообщений
    7
    Вес репутации
    26
    Сейчас попробую

  12. #11
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    СПб
    Сообщений
    7
    Вес репутации
    26
    Касперски Live CD и Drweb Live CD часа по 4 думали и наконец зависали, вытащил один винт из зеркала, подключил к другому ПК, проверил DRweb-ом отловил таки эту гадость C:\Windows\system32\fttxr52P.sys и C:\windows\system32\spool\printers\447.tmp, BackDoor.Tdss.565, прилеплен к fttxr52P.sys - это драйвер рейд контроллера Promise, дальше вылечил на другом зеркальном винте, предварительно заархивировав зараженные файлы, присылать или удалалить? Всем спасибо за участие в решении проблемы.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    пришлите по красной ссылке вверху темы.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,530
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. \fttxr52p.sys - Rootkit.Win32.TDSS.u ( DrWEB: BackDoor.Tdss.565, NOD32: Win32/Olmarik.OF virus, AVAST4: Win32:Patched-LF [Trj] )
      2. \447.tmp - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.based.1, BitDefender: Trojan.Generic.2602754, AVAST4: Win32:Alureon-DR [Rtk] )


  • Уважаемый(ая) Uand, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Backdoor.Tdss.565, Backdoor.Tdss.4005 не могу удалить
      От NIX в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.02.2011, 15:51
    2. BackDoor.Tdss и т.д.
      От Folken в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.09.2010, 23:21
    3. BackDoor.Tdss.565
      От Marija в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 17.07.2010, 16:01
    4. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
      От Shanna в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2010, 17:42
    5. backdoor.tdss.565
      От chiz1 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 21.10.2009, 18:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00447 seconds with 22 queries