Помогите с BackDoor.Tdss.565

[Ne0]

Изначально была проблема в том что не работал интернет (локальная сеть на 2 компьютера, один из них подключен к йоте), проблема была в том что в настройках соединения с интернетом (йота) не было указано "разрешить общий доступ..." плюс соединений было 2 одинаковых (но с разными именами) при проверке cureit'ом было найдено и вылечено/удалено много вирусов (к сожалению не обратил внимания какие именно). Проблему это не решило - на следующий день та же проблема с интернетом (в том числе и опять 2 соединения, причем одно из них вскоре исчезает) при проверке при помощи cureit он нашел следующее:
"Процесс в памяти: C:\Program Files\Mail.ru\Agent\MAgent.exe:180 статус: BackDoor.Tdss.565
Процесс в памяти: C:\Windows\system32\svchost.exe:396 статус: BackDoor.Tdss.565

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\utmymjk3.sys','');
 QuarantineFile('C:\WINDOWS\Installer\43f32.msi','');
 QuarantineFile('C:\TopPlan.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

[gjf]

Также, после выполнения действий из предыдущего сообщения, выполните скрипт AVZ:

Код:

begin
 SetAVZPMStatus(true);
RebootWindows(true);
end.

Система перезагрузится.

После перезагрузки сделайте повторные логи, а также сделайте лог с помощью GMER.

[Ne0]

Скрипты выполнил, файл прикрепил (Файл сохранён как 091102_151925_virus_4aeece4d16254.zip
Размер файла 4315571
MD5 18fed720dab1fc0e997e44bc56830c3b)

выкладываю логи


З.Ы. пользуясь случаем хочу принести извинения за такую "оперативность" - просто в этот офис не удается часто выезжать

[gjf]

Оперативность - дело Ваше. Сейчас посмотрю логи....

Добавлено через 9 минут

- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: zsglibP - {1A16EC86-94A1-47D5-A725-49F5970E335D} - (no file)

- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 TerminateProcessByName('c:\windows\system32\csrcs.exe');
 QuarantineFile('M:\hakrsa.exe','');
 QuarantineFile('M:\autorun.inf','');
 QuarantineFile('system32\DRIVERS\cdrom.sys','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('M:\autorun.inf');
 DeleteFile('M:\hakrsa.exe');
 BC_ImportAll;
ExecuteSysClean;
 SetAVZPMStatus(false);
 ExecuteRepair(16); {восстановление ключа запуска explorer}
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Обновите базы AVZ!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip

- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[Alex_Goodwin]

Придется Вам LiveCD от Доктора делать и с его помощью лечиться. http://virusinfo.info/showpost.php?p=306441&postcount=2

[gjf]

В начале, выполните такой скрипт и повторите загрузку карантина после перезагрузки системы:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 QuarantineFile('c:\windows\system32\DRIVERS\cdrom.sys','');
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

[Ne0]

скрипты выполнил (в порядке их появления на форуме) карантин прикрепил(Файл сохранён как 091110_171201_virus1_4af974b121b1e.zip
Размер файла 452854
MD5 55f5008f356821bbcff9f31fc935fb44)
единственно на счет флешек хотел уточнить - я видел файл hakrsa.exe не только на диске М:\ - то ли сотрудники офиса вытаскивают\вставляют флешки и буквы дисков меняются, то ли этот файл переползает с флешки на флешку...
ну и собственно обновленные логи...

[AndreyKa]

Не видно ничего подозрительного. Проблема решена?
Установите обновления безопасности на Windows.

[Ne0]

к сожалению пока не могу сказать решена или нет (
однако немного смущает наличие файла hakrsa.exe, или ешо можно просто вручную удалять и не париться?

[AndreyKa]

В крайнем логе его нет. Он что, снова появился? Вы уверены, что он не был записан на флешку на другом компьютере?

[Alex_Goodwin]

cureit еще раз свежим проверьтесь. будет ли он на тдсс ругаться.

[Ne0]

Все впорядке, проверил cureit'ом - молчит...
на флешку, я думаю, он мог был быть записан с другого компьютера...
Всем спасибо за помощь...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9696, BitDefender: Gen:Trojan.Heur.AutoIT.Sq3@bipN7baO )