Как убрать порнорекламу с рабочего стола? И обезвредить BackDoor.Tdss.565??

**1николай** · 25.11.2009, 19:18

В компе завелся вирус - BackDoor.Tdss.565. Доктор Веб тщетно с ним боролся. Только пустые слова я слышал от него, типа вирус обезврежен. НО, при последующих многочисленных проверках системы данный вирус вновь и вновь появлялся. Сейчас пишу вам с другого компьютера. Поскольку вирус полностью завладел системой: не могу зайти в интернет, не могу запустить утилиты для проверки системы, видео не октрывается, фото, текстовые докумены тоже, абсолютно все. Мало того, что я теперь не могу окрыть не один файл, так у меня постоянно выскакивает порно-реклама с просьбой отправить смс на телефонный номер (короче развод на деньги). Войти в компьютер в безопасном режиме не удается, комп просто начинает тупо перезагружаться. Востановление системы тоже ни к чему хорошему не привело. При открытии любого файла пусть то будет видео, фото или текст. документ - Вылезает порно-реклама.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pig** · 25.11.2009, 19:33

Да, у вас там, похоже, не один TDSS.
Может, кто-то ещё TDSS всё время подсовывает?
Внимательно прочитать, аккуратно выполнить

**1николай** · 25.11.2009, 20:20

Что делать то?

**pig** · 25.11.2009, 20:24

А что по ссылке написано, то и делайте. Что получится. А может, и ничего не получится.

Тогда отсюда воспользуйтесь советом про Live CD.

**1николай** · 25.11.2009, 20:40

Avz, AVPTool или CureIt не открываются. А вот HiJackThis вполне.

**thyrex** · 25.11.2009, 21:59

Пофиксите в HiJack

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\WlgAC.dll

Перезагрузитесь

Пробуйте подготовить весь комплект логов

**1николай** · 26.11.2009, 01:55

Пофиксите в HiJack

Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\WlgAC.dll Перезагрузитесь

Пробуйте подготовить весь комплект логов

Фуф, ну вроде всё сделал, как вы сказали. Интересно, как только я Профиксил в HijackThis данную строчку и перезагрузил комп, все проблемы сошли на нет. Любопытно, может всё дело было именно в ней??!

**Никита Соловьев** · 26.11.2009, 02:14

1. Пофиксите строку в HJT:

Код:

F2 - REG:system.ini: Shell=

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\OdnoklassnikPlus.ru\iebar.dll','');
 QuarantineFile('C:\WINDOWS\system32\0078.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\system32\0078.dll');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
 DelBHO('{4B8E2882-5984-4A96-BB43-AEF0F965DE3E}');
 DelBHO('{4B8E2883-5984-4A96-BB43-AEF0F965DE3E}');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы. Сделайте новые логи

**1николай** · 26.11.2009, 12:59

Всё сделал, как было сказано. Файлы quarantine.zip и virus.zip прислал на карантин.

**1николай** · 26.11.2009, 14:52

Ну как?
Порнореклама пропала сразу же, после:

Пофиксите в HiJack

Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\WlgAC.dll
Перезагрузитесь

а вот вирус BackDoor.Tdss.565 упорно сопротивляется. Сейчас проверил систему Dr. Web CureIt и как всегда вирус был обнаружен и как всегда обезврежен (хе-хе). Какой хитрый вирус попался!

**Alex_Goodwin** · 26.11.2009, 15:03

попробуйте http://www.secureblog.info/files/TDSSKiller.rar

**light59** · 26.11.2009, 15:27

И ещё поищите и пришлите файл C:\WINDOWS\system32\WlgAC.dll согласно приложению 2 правил.

**1николай** · 26.11.2009, 21:16

И ещё поищите и пришлите файл C:\WINDOWS\system32\WlgAC.dll согласно приложению 2 правил.

Сделал, как вы сказали. Отправил с именем - virus.zip

**1николай** · 27.11.2009, 16:05

попробуйте http://www.secureblog.info/files/TDSSKiller.rar

Попробовал то, что вы дали, и ... ЭТО ПОМОГЛО!!! На всякий случай проверил систему CureIt - вирус BackDoor.Tdss.565 ни подал ни звука. Так же при сканировании был обанружен вирус BackDoor.Siggen.3863
Думаю, что тему можно закрывать.

Огромное спасибо хотелось бы варазить Вашей дружной компании, а именно:
pig, за быструю реакцию на мой вопрос,
thyrex, после его совета, с моего компа убралась чёртовая порнореклама,
Venus Doom, за полноценный ответ,
Alex_Goodwin, после его совета, вирус BackDoor.Tdss.565 отправился в АД!
light59, за последний аккорд.

ВСЕМ СПАСИБО!!! ВЫ БОГИ!!!

**CyberHelper** · 28.11.2009, 16:05

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )
2. c:\windows\system32\wlgac.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )

Как убрать порнорекламу с рабочего стола? И обезвредить BackDoor.Tdss.565?? (заявка № 61282)

Опции темы

Как убрать порнорекламу с рабочего стола? И обезвредить BackDoor.Tdss.565??

Антивирусная помощь

Итог лечения

Похожие темы

Backdoor.Tdss.565, Backdoor.Tdss.4005 не могу удалить

Подскажите,пожалуйста,как убрать баннер с рабочего стола?

Rootkit.Win32.TDSS.d / BackDoor.Tdss.565

backdoor.tdss.565

При запуске с рабочего стола ярлыка ссылкой на сайт, рабочий стол зависает

Ваши права в разделе