BackDoor.Tdss.565 после лечения

**Doublewood** · 27.12.2010, 14:51

привезли комп, антивирус как таковой отсутствовал, перед установкой антивируса решил проверить все CureIt: нашел и вылечил кучу всего, также был обнаружен процесс BackDoor.Tdss.565 который только обезвреживался и спустя какое то время запускался вновь. После лечения TDSSKiller-ом вроде все в порядке но сканирование с AVZ показывает что то непонятное. Что можно сделать?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 27.12.2010, 15:00

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\smss.exe');
 TerminateProcessByName('c:\windows\system32\drivers\svajnager.exe');
 TerminateProcessByName('c:\documents and settings\Глав бух\application data\svchost.exe');
 StopService('svajnag');
 SetServiceStart('svajnag', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\svajnager.exe','');
 DeleteService('svajnag');
 QuarantineFile('C:\Documents and Settings\Глав бух\Application Data\svchost.exe','');
 QuarantineFile('C:\WINDOWS\smss.exe','');
 QuarantineFile('C:\WINDOWS\mssrvc\svchost.exe','');
 DeleteFile('C:\WINDOWS\mssrvc\svchost.exe');
 DeleteFile('C:\WINDOWS\smss.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Media Center');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
 DeleteFile('C:\Documents and Settings\Глав бух\Application Data\svchost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Systems');
 BC_DeleteSvc('svajnag');
 DeleteFile('C:\WINDOWS\system32\drivers\svajnager.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

АВЗ должно быть два лога + лог ТДССКиллер

**Doublewood** · 27.12.2010, 15:41

не могу прикрепить quarantine.zip пишет: Ошибка загрузки. Данный файл уже был загружен. Архив кстати пустой

Остальные логи прилагаю

**olejah** · 27.12.2010, 15:45

Что с проблемой?

**Doublewood** · 27.12.2010, 15:54

Охрана здания закрыла доступ к кабинету с проблемной машиной. можно ли продолжить завтра?

**olejah** · 27.12.2010, 15:56

Ради Бога. Приходите. До Нового Года постараемся вылечить

**Doublewood** · 28.12.2010, 06:39

вот недостающий лог

**Bratez** · 28.12.2010, 06:47

Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\svchost','');
 DeleteFile('C:\WINDOWS\system32\svchost');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFile('C:\WINDOWS\Tasks\At2.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи согласно п.2 и 3 раздела Диагностика.

**Doublewood** · 28.12.2010, 07:04

сделал

**Bratez** · 28.12.2010, 07:24

Чисто.

**Doublewood** · 28.12.2010, 07:28

Спасибо

BackDoor.Tdss.565 после лечения (заявка № 94296)

Опции темы

BackDoor.Tdss.565 после лечения

Похожие темы

Backdoor.Tdss.565, Backdoor.Tdss.4005 не могу удалить

Backdoor.maosboot проблемы после лечения

Rootkit.Win32.TDSS.d / BackDoor.Tdss.565

backdoor.tdss.565

После лечения Backdoor.Win32.Bifrose.aav

Метки для этой темы

Ваши права в разделе