Всё началось с Backdoor.tdss.119; сейчас не загружается антивирус.

**kabansky** · 03.06.2009, 08:41

Приветсвую,

После залёта на Backdoor.tdss.119 доктор веб отключился. CureIt нашел зараженные файлы autorun.inf и по одному файлу с длинным названием в папке Recycled на каждом логическом диске. Это дело вылечилось, но антивирус по-прежнему не работает. В итоге Др.Веб снес и установил Касперского. Этот тоже сначала не запускался, но после переименовывания avp.exe в game.exe антивирус запустился. Правда толку мало, т.к. базы старые и обновить их невозможно (жму на кнопку обновления, но ничего не происходит). Скачал updater.exe, запустил его и он к себе все обновления закачал (60Мб). Настроил в Касперском обновление из локальной папки, но и это не помогло.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**light59** · 03.06.2009, 08:47

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll','');
 QuarantineFile('D:\WINDOWS\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll','');
 QuarantineFile('D:\WINDOWS\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys','');
 DeleteFile('D:\WINDOWS\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys');
 DeleteFile('D:\WINDOWS\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll');
 DeleteFile('D:\WINDOWS\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll');
BC_ImportaLl;
ExecuteSysClean;
 SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=47089
Повторите логи по правилам.

**kabansky** · 03.06.2009, 10:36

Карантин отправил. Логи в аттаче.

И еще вот что не могу решить, но не знаю - связано ли с вирусом или нет. После заражения перестал запускаться локально apache. Переустанавливал уже несколько раз. Не помогает. В логе пишет:

[Wed Jun 03 23:43:20 2009] [crit] (2)The system cannot find the file specified: Parent: Unable to create null output pipe for child process.\n
[Wed Jun 03 23:43:20 2009] [error] (2)No such file or directory: master_main: create child process failed. Exiting.

**PavelA** · 03.06.2009, 19:15

Лог Gmer сделайте. Как смотреть в "Чаво"

**kabansky** · 03.06.2009, 20:04

лог Gmer

**PavelA** · 04.06.2009, 09:57

Сохранить код, как gm.bat в папке, где лежит Gmer.exe

Код:

gmer -del Reg             HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@start                                                                                         1
gmer -del    Reg              HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@type                                                                                          1
gmer -del    Reg              HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@imagepath                                                                                     \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del    Reg              HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@group                                                                                         file system
gmer -del    Reg              HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules
gmer -del    Reg              HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@gxvxcserv                                                                             \\?\globalroot\systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del    Reg              HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@gxvxcl                                                                                \\?\globalroot\systemroot\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll
gmer -del    Reg              HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@gxvxcclk                                                                              \\?\globalroot\systemroot\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start                                                                                     1
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type                                                                                      1
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath                                                                                 \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group                                                                                     file system
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv                                                                         \\?\globalroot\systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl                                                                            \\?\globalroot\systemroot\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll
gmer -del    Reg              HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk                                                                          \\?\globalroot\systemroot\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start                                                                                         1
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type                                                                                          1
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath                                                                                     \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group                                                                                         file system
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv                                                                             \\?\globalroot\systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl                                                                                \\?\globalroot\systemroot\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll
gmer -del    Reg              HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcclk                                                                              \\?\globalroot\systemroot\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll
gmer -del    Service         'gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys'
gmer -del    File 'C:\windows\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys'
gmer -reboot

Запустить. После перезагрузки повторить лог Gmer.

**kabansky** · 04.06.2009, 14:21

новый лог

**PavelA** · 04.06.2009, 15:04

В Gmer найти и удалить:

Код:

system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys

После этого повторить лог Гмера.

**kabansky** · 04.06.2009, 19:27

Гмер не ругается, но Апач по-прежнему не запускается. Есть какие-нибудь предположения на этот счет? У меня мозг щас взорвется.

**PavelA** · 04.06.2009, 19:33

Еще разок вот такой bat-файл надо сделать и выполнить.

Код:

gmer -del Reg             HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@start                                                                                        1
gmer -del Reg             HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@type                                                                                         1
gmer -del Reg             HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@imagepath                                                                                    \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg             HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@group                                                                                        file system

После перезагрузки повторить логи AVZ.

**kabansky** · 04.06.2009, 20:34

так и сделал

**kabansky** · 05.06.2009, 21:54

Поставил SP3 и апач заработал.

Больше вопросов нет.

Благодарствую за помощь!

**light59** · 05.06.2009, 22:21

Пройдите эту процедуру и вы свободны http://virusinfo.info/showthread.php?t=3519

**kabansky** · 06.06.2009, 13:22

готово. файл отправил.

**CyberHelper** · 07.06.2009, 13:22

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Всё началось с Backdoor.tdss.119; сейчас не загружается антивирус. (заявка № 47089)

Опции темы

Всё началось с Backdoor.tdss.119; сейчас не загружается антивирус.

Итог лечения

Похожие темы

Backdoor.Tdss.565, Backdoor.Tdss.4005 не могу удалить

BackDoor.Tdss и т.д.

Rootkit.Win32.TDSS.d / BackDoor.Tdss.565

BackDoor.Tdss.565

Бета-версия Dr.Web - единственный антивирус, который лечит новую модификацию BackDoor.Tdss.565

Ваши права в разделе