Был найден BackDoor.Tdss.565. Посмотрите, пожалуйста, чисто ли в логах
Printable View
Был найден BackDoor.Tdss.565. Посмотрите, пожалуйста, чисто ли в логах
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('CrProCS');
QuarantineFile('C:\WINDOWS\system\lssas32.exe','');
QuarantineFile('C:\Temp\dwm.exe','');
QuarantineFile('C:\WINDOWS\miavjpn.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\msxslt3.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('c:\documents and settings\admin\wuaucldt.exe','');
QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('mptufpqt.dll','');
QuarantineFile('mabhpyhq.dll','');
QuarantineFile('mcxglcmx.dll','');
QuarantineFile('mirlbquj.dll','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('c:\documents and settings\all users\application data\acd systems\sp.dll','');
DeleteFile('mirlbquj.dll');
DeleteFile('mcxglcmx.dll');
DeleteFile('mabhpyhq.dll');
DeleteFile('mptufpqt.dll');
DeleteFile('c:\windows\system32\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe');
DeleteFile('c:\documents and settings\admin\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\msxslt3.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT');
DeleteFile('C:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
DeleteFile('C:\WINDOWS\miavjpn.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tdasagiqi');
DeleteFile('C:\WINDOWS\system\lssas32.exe');
BC_DeleteSvc('CrProCS');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Проверьтесь так - [URL="http://support.kaspersky.ru/faq?qid=208636926"]http://support.kaspersky.ru/faq?qid=208636926[/URL]
- Лог работы приложите сюда
Карантин выслал
Лог ТДССКиллер'а
Повторите логи АВЗ
Лог АВЗ
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DelCLSID('96AFBE69-C3B0-4b00-8578-D933D2896EE2');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ACD Systems\sp.DLL');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{96AFBE69-C3B0-4b00-8578-D933D2896EE2}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SPService\Parameters','ServiceDll');
DeleteFile('C:\Temp\dwm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winupd32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ
Повторил лог
Один не хочет прибиваться
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DelCLSID('96AFBE69-C3B0-4b00-8578-D933D2896EE2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{96AFBE69-C3B0-4b00-8578-D933D2896EE2}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SPService\Parameters','ServiceDll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ACD Systems\sp.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите лог
Повторил
Убился. Что с проблемой?
Рекомендуется
- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
Пока работает комп нормально, симптомов никаких. Думаю, что проблема решена.
Спасибо! Рекомендации выполню.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\acd systems\\sp.dll - [B]Trojan-Proxy.Win32.Agent.dhk[/B] ( DrWEB: BackDoor.ProxyBot.37, BitDefender: Trojan.Generic.6970176, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\miavjpn.dll - [B]Trojan-Downloader.Win32.Mufanom.aqda[/B] ( DrWEB: Trojan.Hiloti.based.2, BitDefender: Gen:Variant.Hiloti.3, AVAST4: Win32:MalOb-CB [Cryp] )[/LIST][/LIST]