-
Junior Member
- Вес репутации
- 53
BackDoor.Tdss.565
Drweb выдает Процесс в памяти: C:\Program Files\Promise\WebPAM\_jvm\bin\java.exe:156BackDoor.Tdss.565Обезврежен.
Процесс каждый раз разный, в безопасном режиме комп не загружается и после выполнения скрипта из помощи по безопасному режиму тоже не загружается.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксите в HJT:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: FineBrowser Helper - {AA7BC78C-2AD5-4C6C-8014-B1F5E75CB0F4} - C:\Program Files\FineBrowser Freeware\FBIEPlugins.dll (file missing)
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll (file missing)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\misec.dll','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\Installer\80268.msi');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
Последний раз редактировалось Никита Соловьев; 30.10.2009 в 02:31.
-
-
Лог гмера переделайте. Укажите все (включая системный диск), кроме реестра.
-
-
Junior Member
- Вес репутации
- 53
Скрипты выполнил, карантин отправил, логи переделал, Drweb продолжает говорить про Tdss.565, в безопасном режиме не загружается, одновременнно с сегодняшними сканированиями стали закачиваться и устанавливаться обновления windows, в итоге перестал загружаться и в обычном режиме
Последний раз редактировалось Uand; 30.10.2009 в 21:14.
-
Лог гмер сделан неверно. После быстрой проверки отметьте системный диск (обычно это С: )
-
-
Junior Member
- Вес репутации
- 53
Последовательность действий:
0. выполнил рекомендации из второго поста, комп перебутился, отправил карантин
1. Запустил гмер сделал лог.
2. Отключил от интернета остановил Спайдера, Спайдермейл, выгрузил агента, запустил IE, отрубил интернет.
3. Запустил AVZ сделал скрипт с лечением и исследованием системы.
4. Перебутил комп, подключил инет, запустил AVZ сделал скрипт исследование системы
5. Запустил HiJeckThis сделал лог
6. Отправил все логи через форум
7. Запустил Drweb Scanner при проверке памяти опять выдает про Tdss.565.
8. В автоматическом режиме закачалось 24 обновления windows, стал выключать комп, они установились.
9. Включил комп все работает, Запустил Drweb scanner, опять выдает про Tdss.565 в памяти.
10. Решил что на сегодня хватит выключил комп, при этом он установил еще 5 каких-то обновлений windows.
11. Решил попробовать загрузиться в безопасном режиме - не получилось.
12. Загузиться в обычном режиме тоже не получилось.
Могу попробовать установить систему поверх существующей, для продолжения борьбы с вирусом или лучше сначала сделать образ диска?
Добавлено через 1 минуту
Сообщение от
Venus Doom
Лог гмер сделан неверно. После быстрой проверки отметьте системный диск (обычно это С: )
Я отмечал диск С:, убирал галку только с реестра, делает минут 30
Последний раз редактировалось Uand; 30.10.2009 в 21:26.
Причина: Добавлено
-
убирал галку только с реестра
А как же ж без реестра?! Гмер может работать и час и два
Могу попробовать установить систему поверх существующей, для продолжения борьбы с вирусом или лучше сначала сделать образ диска?
Пока лучше лог гмер
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Alex_Goodwin
Лог гмера переделайте. Укажите все (включая системный диск), кроме реестра.
Выполнял вот эти инструкции
Добавлено через 55 секунд
Сообщение от
Venus Doom
А как же ж без реестра?! Гмер может работать и час и два
Пока лучше лог гмер
Уже не могу сделать лог гмера, если прочитаете выше, система уже не загружается
Добавлено через 5 минут
Вообще диск в зеркальном рейде, могу еще отсоединить один винт и продолжить эксперименты с другим, господа гуру подскажите что лучше предпринять?
Последний раз редактировалось Uand; 30.10.2009 в 21:42.
Причина: Добавлено
-
Попробуйте записать на чистой машине Live CD, загрузиться и пролечиться с него
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Касперски Live CD и Drweb Live CD часа по 4 думали и наконец зависали, вытащил один винт из зеркала, подключил к другому ПК, проверил DRweb-ом отловил таки эту гадость C:\Windows\system32\fttxr52P.sys и C:\windows\system32\spool\printers\447.tmp, BackDoor.Tdss.565, прилеплен к fttxr52P.sys - это драйвер рейд контроллера Promise, дальше вылечил на другом зеркальном винте, предварительно заархивировав зараженные файлы, присылать или удалалить? Всем спасибо за участие в решении проблемы.
-
пришлите по красной ссылке вверху темы.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- \fttxr52p.sys - Rootkit.Win32.TDSS.u ( DrWEB: BackDoor.Tdss.565, NOD32: Win32/Olmarik.OF virus, AVAST4: Win32:Patched-LF [Trj] )
- \447.tmp - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.based.1, BitDefender: Trojan.Generic.2602754, AVAST4: Win32:Alureon-DR [Rtk] )
-