-
Junior Member
- Вес репутации
- 55
Помогите удалить BackDoor.Tdss.565
Avira Antivir Personal который является резидентным антивирусом нашел следующие вирусы
DR/PCK.TDSS.Z.1450
TR/PCK.TDSS.Z.5312
TR/Small.58783.B
и якобы удалил их...
Но Agnitum Outpost Free ругался на попытку запуска процесса svchost.exe из %WINDIR%\TEMP\tadb.tmp\ (последняя папка всегда разная)
Прочитал инструкцию... перезагрузился запустил Dr.Web CureIt!
пишет обезврежен BackDoor.Tdss.565 в svchost pid такойто(в памяти нашел)
Больше ничего не находит ни на диске C: ни на других дисках в папках System Volume Information, Recyled
но если его запустить повторно то опять его обезвредит
И теперь вот так постоянно только вот файрвол ругается только при наличии подключения к интернету а папки сами по себе создаются сети
Надеюсь на помощь...
Последний раз редактировалось NoMen; 27.05.2010 в 00:23.
Причина: забыл вложения
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Aleksandra, доктор веб отсюда http://beta.drweb.com/files/?p=%2Fcureit&unreg=t несмотря на новую систему подавления не справился.
Сделал загрузочный DrWeb LiveCD долго боролся с глюками но все же запустил. Он нашел этот вирус в %WINDIR%\system32\drivers\pci.sys.
Обидно то что но на все основные папки в системе сделаны md5 по файлам и totalcmd не отличил его 8(
Добавлено через 1 минуту
P.S. Я еще не уверен что это все поэтому до завтра прошу тему не закрывать
Последний раз редактировалось NoMen; 28.05.2010 в 01:02.
Причина: Добавлено
-
Сообщение от
NoMen
Он нашел этот вирус в %WINDIR%\system32\drivers\pci.sys
Он пролечил этот драйвер?
Сообщение от
NoMen
Обидно то что но на все основные папки в системе сделаны md5 по файлам и totalcmd не отличил его 8(
И никогда не отличит...
Сообщение от
NoMen
P.S. Я еще не уверен что это все поэтому до завтра прошу тему не закрывать
Для этого сделайте такой лог http://virusinfo.info/showthread.php?t=78057 в режиме ordinary.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Загрузил...
А почему не отличит? Он перехватывает обращение к файлу или же после загрузки на свое место записывает оригинальный файл?
-
Junior Member
- Вес репутации
- 55
пролечил... но дату и md5 ему поменял...
Добавлено через 5 минут
и еще я забыл выгрузить драйвер расширенного мониторинга от avz :-[
Последний раз редактировалось NoMen; 28.05.2010 в 01:44.
Причина: Добавлено
-
Dr.Web пролечил зараженный дров. В логах антируткита аномалий не увидела.
Сообщение от
NoMen
А почему не отличит? Он перехватывает обращение к файлу
Угу.
Добавлено через 2 минуты
Сообщение от
NoMen
пролечил... но дату и md5 ему поменял...
Все правильно. Если это Вас смущает, то можете заменить пролеченный дров на оригинальный из дистрибутива.
Сообщение от
NoMen
и еще я забыл выгрузить драйвер расширенного мониторинга от avz :-[
Для этого выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.
Последний раз редактировалось Aleksandra; 28.05.2010 в 02:07.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Вроде плюсики здесь ставить некуда поэтому просто: Большое спасибо!
PS Жаль что прямо обращения перехватывают... поумнели... раньше помню шаманили с внезапным вытыканием вилки из розетки %)
-
Сообщение от
NoMen
Вроде плюсики здесь ставить некуда поэтому просто: Большое спасибо!
Не стоит благодарить. Я ничего сверхъестественного не сделала.
p. s. Если надумаете заменить драйвер на оригинальный, то можете для себя сделать новый лог антируткита. Файл C:\WINDOWS\System32\Drivers\pci.sys пройдет по базе безопасных и будет отображаться в логе зеленым цветом.
Сердце решает кого любить... Судьба решает с кем быть...
-