-
Junior Member
- Вес репутации
- 53
Не удаляется BackDoor.Tdss.565 и не грузится ОС
ОС winXp sp3 загружается до логина, пароля, после ввода которых остается синий фон и курсор мыши.
проверки cureIt, avz выполнил в безопасном режиме, восстановление системы откл. KillTDSSremover от Kaspersky не находит ничего.
не удается выполнить пункт 2 раздела после загрузки инструментов, выполняю проверку в безопасном режиме.
cureIt после каждой перезагрузки из безопасного режима в безопасный, находит в памяти BackDoor.Tdss.565 - svhost.exe, восстанавливает стандартный, а плохой помещает в карантин.
Последний раз редактировалось gnuspas; 09.06.2010 в 21:08.
Причина: не дописал
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Очень всё интересно и понятно, но нам нужны хоть какие-нибудь логи.
Попробуйте пролечиться этим: http://support.kaspersky.ru/faq/?qid=208636926
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Rene-gad
Спасибо. Полечился. Во время сканирования получено UnhookRegistry: Cannot get access to KLMD error 2.
Прикрепляю логи avz и hijack сделанные в безопасном режиме(в обычном не грузится).
-
-
-
-Пофиксите:
Код:
O4 - HKLM\..\Policies\Explorer\Run: []
O17 - HKLM\System\CCS\Services\Tcpip\Parameters:
O17 - HKLM\Software\..\Telephony:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters:
O17 - HKLM\System\CS2\Services\Tcpip\Parameters:
O17 - HKLM\System\CS3\Services\Tcpip\Parameters:
O17 - HKLM\System\CS4\Services\Tcpip\Parameters:
- Очистите файл hosts.
- Сделайте лог полного сканирования MBAM.
@polword
Лог gmer в безопасном режиме делать не стоит, т.к. он ничего не покажет.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Rene-gad
-
Пофиксите:
Код:
O4 - HKLM\..\Policies\Explorer\Run: []
O17 - HKLM\System\CCS\Services\Tcpip\Parameters:
O17 - HKLM\Software\..\Telephony:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters:
O17 - HKLM\System\CS2\Services\Tcpip\Parameters:
O17 - HKLM\System\CS3\Services\Tcpip\Parameters:
O17 - HKLM\System\CS4\Services\Tcpip\Parameters:
выполнил
-
Очистите файл
hosts.
выполнил
- Сделайте лог полного сканирования
MBAM.
сканируется
Доброе утро!
в безопасном режиме
в событиях(логах), системы
ошибка, источник Service Control Manager, код 7026
сбой при загрузке драйверов:
afd,
aspi32,
fips,
intelppm,
IPSec,
itcsprot,
itcsrf,
MRxSmb,
NetBIOS,
NetBT,
RasAcd,
Rdbss,
Tcpip,
WS2IFSL
также ошибка:
ftdisk 45,49
отчет mbam получен:
Последний раз редактировалось gnuspas; 10.06.2010 в 10:29.
-
Выложите лог http://esagelab.ru/resources.php?s=tdss_remover
+ проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636281
C:\Program Files\Internet Explorer\rasadhlp.dll
пришлите в карантин по правилам.
Очистите TEMP.
-
-
+Alex_Goodwin
- Удалите в МБАМ:
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\fomina\Local Settings\Temp\48.tmp (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-1-5-21-2088114231-1933093489-1930725748-1138\Dc197\Nev\keygen.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Documents and Settings\Fomina.ZHD03\Local Settings\Temp\7.exe (Worm.AutoRun) -> No action taken.
C:\Program Files\Internet Explorer\rasadhlp.dll (Spyware.Passwords) -> No action taken.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Alex_Goodwin
очистил
Спасибо
Добавлено через 10 минут
Сообщение от
Rene-gad
удалил. перезагрузился. таже ситуация 
Последний раз редактировалось Rene-gad; 10.06.2010 в 11:46.
Причина: Добавлено
-
Сделайте лог полного сканирования MBAM.
-
-
Лог tdss_remover выложите.
Добавлено через 34 секунды
В карантине Trojan-Downloader.Win32.Genome.aurf
Последний раз редактировалось Alex_Goodwin; 10.06.2010 в 13:19.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Rene-gad
Сделайте лог полного сканирования
MBAM.
сделал
-
Сообщение от
Alex_Goodwin
Лог tdss_remover выложите.
please 
-
-
Junior Member
- Вес репутации
- 53
cureIt при запуске быстрой проверки сообщает:
Процесс в памяти: C:\WINDOWS\system32\svchost.exe:580 - BackDoor.Tdss.565 - обезврежен
Добавлено через 6 минут
Сообщение от
Rene-gad
please
при запуске файла remover.exe выдается ошибка: Error while creating or starting service
Последний раз редактировалось gnuspas; 10.06.2010 в 13:47.
Причина: Добавлено
-
Сообщение от
gnuspas
при запуске файла remover.exe выдается ошибка: Error while creating or starting service
Возможно, что он в безопасном режиме не запускается
@Alex_Goodwin - это так?
-
-
Junior Member
- Вес репутации
- 53
скажите пожалуйста, поможет ли, если диск подключить к другому компу, с установленным и обновленным например KAV и просканировать?
-
Сообщение от
gnuspas
скажите пожалуйста, поможет ли, если диск подключить к другому компу, с установленным и обновленным например KAV и просканировать?
Поможет ли - сказать сложно, но попробовать ИМО стоит.
А сохранить Важное и переустановить ОС у Вас есть возможность? Может так даже быстрее будет?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Rene-gad
Поможет ли - сказать сложно, но попробовать ИМО стоит.
А сохранить Важное и переустановить ОС у Вас есть возможность? Может так даже быстрее будет?
на комп-ре установлено специфическое ПО дистрибутивов нет
-
Сканирование с другой системы или с LiveCD поможет.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Alex_Goodwin
Сканирование с другой системы или с LiveCD поможет.
Спасибо. запустил проверку зараженного диска на др комп-е.
в случае неудачного старта системы после проверки и лечения,
если сделать восстановление системы с диска,
как Вы думаете, поможет вернуть систему к нормальному состоянию (не затронув установленное ПО и данные)?
Последний раз редактировалось gnuspas; 10.06.2010 в 15:16.
