BackDoor.Tdss.565

Printable View

30.10.2009, 02:19
Uand

BackDoor.Tdss.565

Drweb выдает [FONT=Arial CYR][SIZE=2]Процесс в памяти: C:\Program Files\Promise\WebPAM\_jvm\bin\java.exe:156[/SIZE][/FONT][FONT=Arial CYR][SIZE=2]BackDoor.Tdss.565[/SIZE][/FONT][FONT=Arial CYR][SIZE=2]Обезврежен.[/SIZE][/FONT]
Процесс каждый раз разный, в безопасном режиме комп не загружается и после выполнения скрипта из помощи по безопасному режиму тоже не загружается.
30.10.2009, 02:25
Никита Соловьев

1. Пофиксите в HJT:
[CODE]R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: FineBrowser Helper - {AA7BC78C-2AD5-4C6C-8014-B1F5E75CB0F4} - C:\Program Files\FineBrowser Freeware\FBIEPlugins.dll (file missing)
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll (file missing)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)[/CODE]

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\misec.dll','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\Installer\80268.msi');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)

Сделайте новые логи
30.10.2009, 11:38
Alex_Goodwin

Лог гмера переделайте. Укажите все (включая системный диск), кроме реестра.
30.10.2009, 20:46
Uand

Скрипты выполнил, карантин отправил, логи переделал, Drweb продолжает говорить про Tdss.565, в безопасном режиме не загружается, одновременнно с сегодняшними сканированиями стали закачиваться и устанавливаться обновления windows, в итоге перестал загружаться и в обычном режиме :)
30.10.2009, 20:53
Никита Соловьев

Лог гмер сделан неверно. После быстрой проверки отметьте системный диск (обычно это С: )
30.10.2009, 21:25
Uand

Последовательность действий:
0. выполнил рекомендации из второго поста, комп перебутился, отправил карантин
1. Запустил гмер сделал лог.
2. Отключил от интернета остановил Спайдера, Спайдермейл, выгрузил агента, запустил IE, отрубил интернет.
3. Запустил AVZ сделал скрипт с лечением и исследованием системы.
4. Перебутил комп, подключил инет, запустил AVZ сделал скрипт исследование системы
5. Запустил HiJeckThis сделал лог
6. Отправил все логи через форум
7. Запустил Drweb Scanner при проверке памяти опять выдает про Tdss.565.
8. В автоматическом режиме закачалось 24 обновления windows, стал выключать комп, они установились.
9. Включил комп все работает, Запустил Drweb scanner, опять выдает про Tdss.565 в памяти.
10. Решил что на сегодня хватит выключил комп, при этом он установил еще 5 каких-то обновлений windows.
11. Решил попробовать загрузиться в безопасном режиме - не получилось.
12. Загузиться в обычном режиме тоже не получилось.

Могу попробовать установить систему поверх существующей, для продолжения борьбы с вирусом или лучше сначала сделать образ диска?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Venus Doom;497066]Лог гмер сделан неверно. После быстрой проверки отметьте системный диск (обычно это С: )[/QUOTE]

Я отмечал диск С:, убирал галку только с реестра, делает минут 30
30.10.2009, 21:27
Никита Соловьев

[QUOTE]убирал галку только с реестра[/QUOTE]А как же ж без реестра?! Гмер может работать и час и два
[QUOTE]Могу попробовать установить систему поверх существующей, для продолжения борьбы с вирусом или лучше сначала сделать образ диска?[/QUOTE]Пока лучше лог гмер
30.10.2009, 21:41
Uand

[QUOTE=Alex_Goodwin;496707]Лог гмера переделайте. Укажите все (включая системный диск),[U][COLOR=red] кроме реестра[/COLOR][/U].[/QUOTE]

Выполнял вот эти инструкции

[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]

[QUOTE=Venus Doom;497113]А как же ж без реестра?! Гмер может работать и час и два
Пока лучше лог гмер[/QUOTE]

Уже не могу сделать лог гмера, если прочитаете выше, система уже не загружается

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Вообще диск в зеркальном рейде, могу еще отсоединить один винт и продолжить эксперименты с другим, господа гуру подскажите что лучше предпринять?
30.10.2009, 21:44
Никита Соловьев

Попробуйте записать на чистой машине [url=ftp://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso]Live CD[/url], загрузиться и пролечиться с него
30.10.2009, 21:47
Uand

Сейчас попробую
31.10.2009, 15:24
Uand

Касперски Live CD и Drweb Live CD часа по 4 думали и наконец зависали, вытащил один винт из зеркала, подключил к другому ПК, проверил DRweb-ом отловил таки эту гадость C:\Windows\system32\fttxr52P.sys и C:\windows\system32\spool\printers\447.tmp, BackDoor.Tdss.565, прилеплен к fttxr52P.sys - это драйвер рейд контроллера Promise, дальше вылечил на другом зеркальном винте, предварительно заархивировав зараженные файлы, присылать или удалалить? Всем спасибо за участие в решении проблемы.
31.10.2009, 15:45
Alex_Goodwin

пришлите по красной ссылке вверху темы.
01.11.2009, 15:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \fttxr52p.sys - [B]Rootkit.Win32.TDSS.u[/B] ( DrWEB: BackDoor.Tdss.565, NOD32: Win32/Olmarik.OF virus, AVAST4: Win32:Patched-LF [Trj] )[*] \447.tmp - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: BackDoor.Tdss.based.1, BitDefender: Trojan.Generic.2602754, AVAST4: Win32:Alureon-DR [Rtk] )[/LIST][/LIST]