-
Junior Member
- Вес репутации
- 53
Помогите с BackDoor.Tdss.565
Изначально была проблема в том что не работал интернет (локальная сеть на 2 компьютера, один из них подключен к йоте), проблема была в том что в настройках соединения с интернетом (йота) не было указано "разрешить общий доступ..." плюс соединений было 2 одинаковых (но с разными именами) при проверке cureit'ом было найдено и вылечено/удалено много вирусов (к сожалению не обратил внимания какие именно). Проблему это не решило - на следующий день та же проблема с интернетом (в том числе и опять 2 соединения, причем одно из них вскоре исчезает) при проверке при помощи cureit он нашел следующее:
"Процесс в памяти: C:\Program Files\Mail.ru\Agent\MAgent.exe:180 статус: BackDoor.Tdss.565
Процесс в памяти: C:\Windows\system32\svchost.exe:396 статус: BackDoor.Tdss.565
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\Drivers\utmymjk3.sys','');
QuarantineFile('C:\WINDOWS\Installer\43f32.msi','');
QuarantineFile('C:\TopPlan.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
-
-
Также, после выполнения действий из предыдущего сообщения, выполните скрипт AVZ:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки сделайте повторные логи, а также сделайте лог с помощью GMER.
Последний раз редактировалось gjf; 26.10.2009 в 18:20.
Причина: уточнил
-
-
Junior Member
- Вес репутации
- 53
Скрипты выполнил, файл прикрепил (Файл сохранён как 091102_151925_virus_4aeece4d16254.zip
Размер файла 4315571
MD5 18fed720dab1fc0e997e44bc56830c3b)
выкладываю логи
З.Ы. пользуясь случаем хочу принести извинения за такую "оперативность" - просто в этот офис не удается часто выезжать
-
Оперативность - дело Ваше. Сейчас посмотрю логи....
Добавлено через 9 минут
- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: zsglibP - {1A16EC86-94A1-47D5-A725-49F5970E335D} - (no file)
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('M:\hakrsa.exe','');
QuarantineFile('M:\autorun.inf','');
QuarantineFile('system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('M:\autorun.inf');
DeleteFile('M:\hakrsa.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(false);
ExecuteRepair(16); {восстановление ключа запуска explorer}
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Обновите базы AVZ!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 02.11.2009 в 17:28.
Причина: Добавлено
-
-
Придется Вам LiveCD от Доктора делать и с его помощью лечиться. http://virusinfo.info/showpost.php?p=306441&postcount=2
-
-
В начале, выполните такой скрипт и повторите загрузку карантина после перезагрузки системы:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('c:\windows\system32\DRIVERS\cdrom.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 53
скрипты выполнил (в порядке их появления на форуме) карантин прикрепил(Файл сохранён как 091110_171201_virus1_4af974b121b1e.zip
Размер файла 452854
MD5 55f5008f356821bbcff9f31fc935fb44)
единственно на счет флешек хотел уточнить - я видел файл hakrsa.exe не только на диске М:\ - то ли сотрудники офиса вытаскивают\вставляют флешки и буквы дисков меняются, то ли этот файл переползает с флешки на флешку...
ну и собственно обновленные логи...
-
Не видно ничего подозрительного. Проблема решена?
Установите обновления безопасности на Windows.
-
-
Junior Member
- Вес репутации
- 53
к сожалению пока не могу сказать решена или нет (
однако немного смущает наличие файла hakrsa.exe, или ешо можно просто вручную удалять и не париться?
-
В крайнем логе его нет. Он что, снова появился? Вы уверены, что он не был записан на флешку на другом компьютере?
-
-
cureit еще раз свежим проверьтесь. будет ли он на тдсс ругаться.
-
-
Junior Member
- Вес репутации
- 53
Все впорядке, проверил cureit'ом - молчит...
на флешку, я думаю, он мог был быть записан с другого компьютера...
Всем спасибо за помощь...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9696, BitDefender: Gen:Trojan.Heur.AutoIT.Sq3@bipN7baO )
-