-
Junior Member
- Вес репутации
- 53
Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
Добрый день, неделю назад вылезло окно с предупреждением о том что вам нужно заплатить за лицензию какой-то программы, отравив смс. Подобрав код, банер убрала.
После Drweb обнаружил BackDoor.Tdss.565, ничего сделать с ним не смог, AVPTool-ом был обнаружен Rootkit.Win32.TDSS.d, так же не вылечил.
За ранее извините если что-то не правильно сделала)
помогите..
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Shanna; 16.01.2010 в 21:42.
-
Не видно ничего подозрительного.
Установите Adobe Acrobat Reader 9.3 или удалите старый.
Проблема решена?
Очистите карантин AVZ.
Выполните процедуру, описанную в первом сообщении:
http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 53
На данный момент ни каких видимых прболем нет, кроме того, что утилитой Kaspersky Virus Removal Tool обнаруживается rootkit.win32.tdss.d. А с разницей примерно в неделю у меня 3 раза появлялось окно с требованием отправить СМС для разблокировки компьютера. После первого такого окна я поставила Drweb лицензию
Файл сохранён как 100117_123641_virusinfo_files_C7683B981A41433_4b52 da2980c22.zip
Размер файла 1778206
MD5 84cd564a7ee01c8b32bb2ec1b38879ce
Добавлено через 2 минуты
До этого, каюсь, ни какой антиирусной защиты не было..
Последний раз редактировалось Shanna; 17.01.2010 в 12:50.
Причина: Добавлено
-
Сообщение от
Shanna
После первого такого окна я поставила Drweb лицензию
В ваших логах антивируса не наблюдается.
Проверьте папку Windows используя Dr.Web LiveCD http://www.freedrweb.com/livecd/ хотя и обычный сканер Dr.Web его лечит: http://news.drweb.com/show/?i=687
-
-
Junior Member
- Вес репутации
- 53
пришлось временно удалять Dr.web, сейчас каждый раз при сканировании он пишет: Объект-Процесс в памяти С:\WINDOWS\system32\svchost.exe: 876; Статус-BackDoor.Tdss.565; Действие-Обезврежен.
На ноутбуке не работает привод.. Попробую что-нибудь придумать
-
Разумно. Раз компьютер уже заражён антивирус ему не к чему.
Сделайте скриншот окна Сканера DRWeb после того, как проверили компьютер.
-
-
Junior Member
- Вес репутации
- 53
Не понимаю вашу иронию. Не открывала ноутбук неделю. Сейчас у меня схожая проблема, с которой обращаются сюда на форум: Internet Security sms на номер 4460 (вылазиет не всегда теперь), блокировка диспечера, антивируса, перегрузка системы при попытке выйти на сайты ваш и антивирусов.. AVZ не запускается. Поизголявший нашла таки способ запустить Avz, выполнила скрипт рекомендованный в схожей теме, после перезагрузки ожил ДрВэб и сново ругнулся на BackDoor.Tdss.565.
-
Junior Member
- Вес репутации
- 53
Сейчас сделаю логи по правилам
-
Как говорится, если что-то не получается, то надо прочитать инструкцию.
На скриншоте видно, что никакую проверку вы не запускали (по количеству проверенных объектов). Для того, что бы запустить проверку надо нажать на кнопочку с зелёным треугольничком.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.lsh ( BitDefender: Gen:Trojan.Heur.GM.0040024900, AVAST4: Win32:Zbot-MNI [Trj] )
-