BackDoor.Tdss.565

Printable View

11.08.2010, 11:18
Alexa3310

BackDoor.Tdss.565

С помощью утилиты Dr. Web CureItв памяти обнаружил такой вирус "BackDoor.Tdss.565"запустил "AVPTool" нашел зараженный файл, но при попытке зайти на любой интивирусный сайт, доступ блокируется. Посмотрите пожалуйста логи.
11.08.2010, 11:26
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3f6fba4c.exe,\\?\globalroot\systemroot\system32\FRMBWwa.exe,[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\TEMP\shashki\Ch.exe','');
QuarantineFile('C:\WINDOWS\system32\3f6fba4c.exe','');
QuarantineFile('C:\WINDOWS\wi3dpi.dll','');
QuarantineFile('D:\Телефонный справочник_2007\Autorun.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\FRMBWwa.exe','');
QuarantineFile('C:\WINDOWS\svchest.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\FRMBWwa.exe');
DeleteFile('C:\WINDOWS\system32\3f6fba4c.exe');
DeleteFile('C:\WINDOWS\svchest.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи + проверьтесь так и приложите лог сюда [URL="http://support.kaspersky.ru/faq/?qid=208636926"]http://support.kaspersky.ru/faq/?qid=208636926[/URL]

[QUOTE]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt[/QUOTE]
11.08.2010, 11:54
Alexa3310

файл quarantine.zip прислал
11.08.2010, 12:04
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\wi3dpi.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Staqawanubililah');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
11.08.2010, 12:27
Alexa3310

логи после проверки

повторяю логи + проверился
11.08.2010, 12:29
olejah

[B]virusinfo_cure.zip[/B] - это карантин, нужно убрать из вложений, а лог TDSSKiller прикрепите к сообщению.
11.08.2010, 12:57
Alexa3310

[QUOTE=Olejah;686230][B]virusinfo_cure.zip[/B] - это карантин, нужно убрать из вложений, а лог TDSSKiller прикрепите к сообщению.[/QUOTE]
[B]virusinfo_cure.zip[/B] - убрал из вложений, а лог TDSSKiller прикрепил к сообщению.
11.08.2010, 13:40
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\svchest.exe');
DelCLSID('D61C4DC5-64D2-0411-2127-DF7F148E1A78');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscheck.zip[/B] + сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
11.08.2010, 13:43
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system\dwm.exe','');
DelCLSID('{D61C4DC5-64D2-0411-2127-DF7F148E1A78}');
DeleteFile('C:\WINDOWS\svchest.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
11.08.2010, 17:30
Alexa3310

[QUOTE=Olejah;686277][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\svchest.exe');
DelCLSID('D61C4DC5-64D2-0411-2127-DF7F148E1A78');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE] После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscheck.zip[/B] + сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL][/QUOTE]
Повторил лог [B]virusinfo_syscheck.zip[/B] и сделал лог MBAM[U][/U]
11.08.2010, 17:47
Alexa3310

новый virusinfo_syscheck.zip и запрошенный quarantine.zip загрузил
11.08.2010, 20:01
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('darkness');
DeleteFile('C:\WINDOWS\system\dwm.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('darkness');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
12.08.2010, 09:37
Alexa3310

скрипт выполнил, повторный лог прикрепил
12.08.2010, 09:50
polword

проверим еще один файлик
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\cam2_sv.exe');
QuarantineFile('c:\windows\system32\cam2_sv.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
12.08.2010, 09:56
Alexa3310

скрипт выполнил. Файл quarantine.zip загрузил
12.08.2010, 10:16
polword

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
12.08.2010, 12:15
Alexa3310

[QUOTE=polword;686697]Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].[/QUOTE]
всё установил и обновил
12.08.2010, 14:30
polword

[QUOTE]c:\windows\system32\cam2_sv.exe[/QUOTE]
файл чистый... лечение можно считать законченным
12.08.2010, 17:18
Alexa3310

[QUOTE=polword;686842]файл чистый... лечение можно считать законченным[/QUOTE]
СПАСИБО ОГРОМНОЕ ЗА ПОМОЩЬ!!!!
13.08.2010, 17:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\wi3dpi.dll - [B]Trojan-Downloader.Win32.Mufanom.aafz[/B] ( DrWEB: BackDoor.Tdss.3839, BitDefender: Gen:Variant.Hiloti.1, AVAST4: Win32:Hilot [Trj] )[/LIST][/LIST]