backdoor.tdss.565

Printable View

19.10.2009, 15:21
chiz1

backdoor.tdss.565

после загрузки и последующего запуска файла, было заражено большенство .exe и .scr файлов win32.virut.56, в безопасном режиме вылечился curit'ом, но в процессах drweb обнаруживал backdoor.tdss.565. Далее на автомате с браузера пошла загрузка get accelerator, после чего вылезло окошко об его активации через смс, доступа к интернету не было, проверялся всеми возможными антивирусами (curit, avz, avp) не видели никаких вредных файлов, пока не нашел у себя на жестком программу spyware process detector, проверился drweb, посмотрев в каком процессе висит бэкдор сразу же посмотрел с какими модулями работал тот процесс, в сэйф моде вручную удалил файл вида {}.dll и подозрительные файлы созданные по дате установке get accelerator окошко пропало доступ к интернету появился, но backdoor не уходит до сих пор висит в процессах, drweb его обнаруживает и обезвреживает, но буквально через 10 секунд при повторной проверке снова появляется в другом процессе. сейчас уже начинают появлятся в system32 другие файлы winupdate при котором на рабочем столе появляется обоина с предупреждением о вредном по и помощи в загрузки антивируса, я его удаляю из процессов. в общем помогите избавиться от этого бэкдора и остальной заразы :)

edit:проверки avz делал с драйвером расширенного мониторинга процессов
19.10.2009, 16:54
Шапельский Александр

[FONT=Verdana][FONT=Arial]Закройте/выгрузите все программы кроме AVZ .[/FONT]
[/FONT] [FONT=Verdana][FONT=Arial]Отключите:[/FONT]
[/FONT] [FONT=Verdana][FONT=Arial]- ПК от интернета/локалки;[/FONT]
[/FONT] [FONT=Verdana][FONT=Arial]- антивирус и файрвол.;[/FONT]
[/FONT] [FONT=Verdana][FONT=Arial]- восстановление системы;[/FONT]
[/FONT] [FONT=Verdana][FONT=Arial]- выполните скрипт
[/FONT][CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\87680029\87680029.exe','');
QuarantineFile('C:\WINDOWS\system32\winupdate.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\mIRC-6.35.rar','');
DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\mIRC-6.35.rar');
DeleteFile('C:\WINDOWS\system32\winupdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winupdate.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE][/FONT] [FONT=Verdana][FONT=Arial]После выполнить:[/FONT][/FONT]
[FONT=Verdana][FONT=Arial]- включите антивирус и файрволл[/FONT][/FONT]
[FONT=Verdana][FONT=Arial]- подключите ПК к интернету/локалке[/FONT][/FONT]
[FONT=Arial][FONT=Verdana]- закачайте карантин по ссылке [B][U][COLOR=red]Прислать запрошенный карантин [/COLOR][/U][/B]в шапке Вашей темы (Приложение 3 правил).[/FONT][/FONT]
19.10.2009, 17:16
Alex_Goodwin

Сделайте обязательно лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
19.10.2009, 17:18
chiz1

[QUOTE=Alex_Goodwin;488999]Сделайте обязательно лог [URL]http://virusinfo.info/showthread.php?t=40118[/URL][/QUOTE]
до или после выполнения скрипта?
19.10.2009, 17:20
Alex_Goodwin

после.
19.10.2009, 19:52
chiz1

заметил подозрительную вещь, при попытки скачать .exe файл gmer мозилла "впихивала" .exe файлы с набором символов и цифр с пустой иконкой.
файлы карантина отослал, лог gmer прилагается)
19.10.2009, 23:06
Alex_Goodwin

Замените C:\WINDOWS\system32\drivers\atapi.sys на чистый из-под liveCD
19.10.2009, 23:39
chiz1

новые логи, до замены с livecd, днем сделаю замену
и вот скрины мозилы на всякий случай
19.10.2009, 23:40
ALEX(XX)

[QUOTE='chiz1;489225']и вот скрины мозилы на всякий случай[/QUOTE]
Это рандомное имя гмера, дабы звери не блокировали запуск по имени
19.10.2009, 23:41
Alex_Goodwin

Это гмер :) Без замены логи бесполезны.
19.10.2009, 23:56
chiz1

я уж испугался :)
завтра сделаю замену и логи сделаю
20.10.2009, 15:00
chiz1

atapi.sys заменил бэкдор больше не вылазит :)
логи прилагаются
диспетчер все еще отключен :(
20.10.2009, 16:56
AndreyKa

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ExecuteRepair(11);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
[/code]
Диспетчер задач заработал?
20.10.2009, 18:10
chiz1

[QUOTE=AndreyKa;489739]Диспетчер задач заработал?[/QUOTE]
да спасибо
21.10.2009, 18:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\мои документы\загрузки\mirc-6.35.rar - [B]not-a-virus:Client-IRC.Win32.mIRC.g[/B][*] c:\windows\system32\winupdate.exe - [B]Trojan-Downloader.Win32.FraudLoad.fva[/B][/LIST][/LIST]