BackDoor.Tdss.565

Printable View

09.07.2010, 17:39
Marija

Вложений: 2

BackDoor.Tdss.565

Добрый день!

Сегодня Доктор Вэб обнаружил BackDoor.Tdss.565, удалил его, через некоторое время он появился опять. Помогите удалить.
09.07.2010, 18:06
olejah

Здравствуйте. Давайте так -

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\kkr.exe');
QuarantineFile('C:\Program Files\SAM\module.dll','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\kkr.exe','');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\kkr.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe');
DeleteFile('C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
DelAutorunByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe');
DelAutorunByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\kovlafo');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\kovlafo\Parameters');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

Повторите логи, отпишитесь о состоянии.

Если что - можно скачать утилиту TDSSKiller от Касперского и провериться ей - [URL="http://support.kaspersky.ru/viruses/utility"]http://support.kaspersky.ru/viruses/utility[/URL]
09.07.2010, 18:44
Marija

Огромное спасибо за ответ!
Все скрипты выполнила.
Карантин отослала, вот новые логи
09.07.2010, 18:52
olejah

Так, осоновные гады вроде вымерли, получим карантин, я отчитаюсь, теперь выполните пожалуйста процедуру, описанную в первом сообщении этой темы - [URL="http://virusinfo.info/showthread.php?t=3519"]http://virusinfo.info/showthread.php?t=3519[/URL]. И всё-таки я рекомендую скачать утилиту, ссылку на которую я дал выше и провериться ей, ок?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Из того, что пошло в карантин было - C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe - [B]Packed.Win32.Katusha.n[/B]
09.07.2010, 18:59
Marija

Так... процедуру выполнила и в той теме отписалась. Утилиту скачала, проверилась.
У меня ещё такой вопрос, наверно глупый. Теперь когда в интернет захожу, при открытии страниц вылетает сообщение от ИЕ : Эта страница имеет изъян в системе безопасности и может быть опасной. Хотите продолжить? - вот как бы это убрать?
09.07.2010, 19:09
olejah

Сам ИЕ не пользуюсь, но там есть список доверенных сайтов, ИЕ - Сервис - Свойства обозревателя - вкладка Безопасность - Надёжные узлы. Внесите сайты которым доверяете в этот список. После проверки TDSSKiller должна создать в корне диска С, по типу такого - [B]TDSSKiller.2.3.2.2_02.07.2010_16.02.18_log.txt [/B], выложите его сюда.
09.07.2010, 19:17
Marija

Вот лог
09.07.2010, 19:25
olejah

[B]Marija[/B], плохо дело,:( действительно TDSS, а это злостная штука, Вы перезагружались после работы TDSSKiller? Если нет, то сделайте это и повторите проверку с выкладыванием лога сюда.
09.07.2010, 19:31
Marija

Я прошу прощения, но я действительно не перезагружала компьютер
Вот новый лог
09.07.2010, 19:34
olejah

Ура, вроде вылечил, повторите ещё логи АВЗ, если не затруднит.
09.07.2010, 20:09
Marija

Ок, новые логи
09.07.2010, 20:19
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('tsk2DA.tmp','');
QuarantineFile('ACDV.dll','');
QuarantineFile('C:\WINDOWS\system32\mtvudnzd.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
09.07.2010, 20:33
Marija

Сделала, отправила.
09.07.2010, 20:49
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('tsk2DA.tmp');
DeleteFile('C:\WINDOWS\system32\mtvudnzd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

Ещё разочек повторите логи, чтобы убедиться, что всё умерло.
09.07.2010, 21:12
Marija

Скрипт сделала, вот логи
09.07.2010, 21:16
olejah

Отлично, убиты. Что говорит Доктор Вэб?
09.07.2010, 21:49
Marija

Доктор Вэб утверждает что всё чисто!
Даже не знаю как вас благодорить!
СПАСИБО ВАМ ОГРОМНОЕ!
09.07.2010, 21:59
olejah

Не за что! :) [B]C:\Program Files\Adobe\Reader 9.0[/B] - вот это бы не мешало обновить, там дырок много.
16.07.2010, 16:01
DefesT

Выполните еще такой скрипт:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
DeleteFile('C:\Program Files\SAM\module.dll');
DelBHO('{B2150688-1AA5-4698-90BE-C3CBECBB5786}');
DeleteFileMask('C:\Program Files\SAM','*.*',true);
DeleteDirectory('C:\Program Files\SAM');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip для контроля
17.07.2010, 16:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\9335~1\locals~1\temp\kkr.exe - [B]Packed.Win32.Katusha.n[/B] ( DrWEB: Trojan.DownLoad2.6517, BitDefender: Gen:Variant.Renos.24 )[/LIST][/LIST]