-
Junior Member
- Вес репутации
- 53
порно-банер №3649 /BackDoor.tdss.565/ atapi.sys
Предыстория.. на компе был вирус GetAccelerator/ перевёл время, удалил dll. Заработало.. Буквально через час. новый вирус.
Прозрачный банер посередине экрана с требованием отправить смс М20920007 на #3649.
*.exe не запускаются, *.com тоже.. за исключением калькулятора, опен офиса, курейта, др.веба и мелочи... explorer не запускается, доступа в реестр / командную строку нет. диспечер - недоступен.
Интернет, тем не менее работает, drweb 5.0 обновился.
(примечание: банер сворачивается только при запуске ярлыка КриптоПРо CSP, но сама программа не запускается)
При поиске в безопасном режиме курейтом находит что заражен C:/windows/system32/driver/atapi.sys вирусом BackDoor.tdss.565, лечит?!.
тот же вирус находит в процессе антивирусника AVIRA.
anti-malware (запускается без проблем)- не помог
tdss_remover_latest.rar - не помог
TDSSKiller.rar - не помог
Предпринятые действия.
Разбил акронисом диск С.
На диске Е:/ поставил WinXp Pro Sp3.
Просканировал через новую ОС диск С:/ - ,безрезультатно.
Скопировал чистый atapi.sys с диска E:/ на С:/
C:/windows/system32/driver/atapi.sys
E:/windows/system32/driver/atapi.sys
Результат - при загрузке из под заражённой системы, в течении 5-15 секунд, возможно открывать *.exe, остальное недоступно
запустил AVZ и hijackthis сделал логи.
Буде искренне благодарен за любую помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ZeHvr.dll','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 53
Сделал...
Банер не выскакивает, но не доступ везде ограничен по прежнему..
обновил др. веб..
Нашел в файлах
C:\WINDOWS\system32\ZeHvr.dll
C:\WINDOWS\temp\omjtc.dll
вирус BackDoor.siggen.3863
вылечить. не удалось.
выслал карантин.. (
Последний раз редактировалось DarkGrifon; 27.11.2009 в 11:11.
-
читайте приложение 3 правил ...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-