Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Rootkit.win32.tdss.d (заявка № 65703)

  1. #1
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30

    Thumbs up Rootkit.win32.tdss.d

    Здравствуйте, Господа

    Обращаюсь к Вам со следующей проблемой. Недавно мой компьютер был заражен программой-вымогателем (требовал отправить смс K706413900 на номер 4460 якобы для программы download master). После обращения в службу поддержки своего провайдера был получен код для деактивации программы (вводился в поле "введите код").

    После удаления была установлена и зарегистрирована последняя версия Антивируса Касперского 2010. Была выполнена быстрая проверка, все прошло нормально.

    По прошествии 2-х дней при очередном сканировании системы был обнаружен вирус Rootkit.win32.tdss.d. Поначалу Антивирус Касперского рекомендовал перезагрузку системы (для завершения удаления вируса). Однако, вирус при повторном сканировании оставался в системе. Позже антивирус при обнаружении данного вируса стал приводить к зависанию компьютера (вне зависимости от выбора варианта лечения вируса).

    Пробовал удалить вирус утилитами TDSSKiller.exe и Rootkit.Win32.TDSS remover. Использование этих программ также приводит к зависанию компьютера.

    Решил обратиться к Вам за помощью, в прикрепленных файлах вся необходимая информация (в соответствии с правилами форума).

    Перед диагностикой делал все, что указано в правилах:
    1. Антивирус Касперского с последними БД, однако проверку не удалось провести, т.к. компьютер зависает после обнаружения вируса
    2. Пробовал проверить компьютер с помощью утилиты CureIt!, однако она также виснет.
    3. Восстановление системы отключил
    4. Последнее требования перед диагностикой тоже выполнил (пункт №6)

    Надеюсь на Вашу помощь.
    С уважением, Дмитрий Масленников

    P.S. С Наступившим Новым годом!!!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\winpg.dll','');
     QuarantineFile('0.exe','');
     QuarantineFile('c:\windows\system32\aswl2k.exe','');
     DeleteFile('0.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=40118.


    Сделайте новые логи.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    + к snifer67

    Перед повторными логами обновите базы AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    Скрипт выполнил, когда компьютер начал перезагружаться (закрылись все окна, остался один рабочий стол) произошло зависание.

    Карантин пустой, программа по какой-то причине не смогла скопировать в него подозрительные файлы.

    Новые логи в прикрепленных файлах.

    Пробовал запустить программу Gmer, но она вылетает с сообщением об ошибке.

  6. #5
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    Обновил БД AVZ. Логи прилагаются.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Сделайте такой лог http://virusinfo.info/showthread.php?t=58309

  8. #7
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    ComboFix не запускается, пробовал переименовать, все равно виснет...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Просканируйте ПК http://www.freedrweb.com/cureit/?lng=ru

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    В каком файле находит Rootkit.win32.tdss.d?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    Утилитой Dr.Web CureIt! опять не получилось просканировать компьютер. Зависает при попытке начать сканирование.

    Rootkit.win32.tdss.d находится в системной памяти.

    Добавлено через 2 минуты

    Как понимаю, скорее всего руткит является одним из компонентов программы-вымогателя.
    Последний раз редактировалось DmitryMaslennikov; 02.01.2010 в 12:52. Причина: Добавлено

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    c:\windows\system32\drivers\atapi.sys - замените на чистый из дистрибутива.

  13. #12
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    Не могу найти подходящий дистрибутив. Смотрел на диске Windows XP, Где можно взять или скачать данный файл? Смотрел через поисковые системы, многие ищут этот файл, но нет ни одной подходящей ссылки...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Скачайте Live CD Dr.Web http://www.freedrweb.com/livecd/ и пролечите машину. Лечение зараженного драйвера пройдет на автомате.
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    Загрузил систему с Live CD Dr.Web, выполнил проверку. Было обнаружено несколько вирусов (идентифицированы как WIN.WORM), а также некоторые файлы программы hijack были определены как зараженные...

    После проверки ничего не изменилось, Антивирус Касперского по прежнему находит данный руткит в системе, компьютер виснет в ходе проверки.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Касперский находит вирус в файле или в системной памяти ?

  17. #16
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    В числе обнаруженных файлов не было драйвера c:\windows\system32\drivers\atapi.sys, можно его как-нибудь восстановить другим способом?

    Добавлено через 35 секунд

    Касперский находит вирус в системной памяти...

    Добавлено через 2 минуты

    При анализе через AVZ под подозрение попали файлы cpadvai.dll и icuuet.dll (потенциальные кейлогеры или троянские DLL).

    Добавлено через 2 минуты

    Читаю темы в сети, там говорится, что можно восстановить данный файл (c:\windows\system32\drivers\atapi.sys) в DOS (copy D:\i386\atapi.sy_ C:\winnt\system32\drivers\atapi.sys). Так ли это? Или не поможет?

    Добавлено через 3 минуты

    Может установить SP3 (для Windows XP)?
    Последний раз редактировалось DmitryMaslennikov; 02.01.2010 в 21:07. Причина: Добавлено

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    c:\windows\system32\drivers\atapi.sys - замените на файл в аттаче.

  19. #18
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    Захожу с другого компьютера.

    Переустановил указанный файл, в системе произошли изменения.

    Однако начало вылезать сообщение с предложением активации eKAV Antivirus (отправить смс К204414900 на номер 4460). Контрольная панель, редактор реестра, а также любые антивирусные программы невозможно запустить, на этот форум тоже невозможно зайти с зараженного компьютера.

    Добавлено через 5 минут

    Кстати, может кому поможет, некоторые коды для активации может выслать служба поддержки компании А1 Агрегатор (смс-сервисы которой используют злоумышленники). Телефон поддержки 8-800-555-01-02. Первый раз они помогли, назвали код сразу, сейчас сказали, что можно только отправить заявку на обработку запроса.

    Добавлено через 1 час 56 минут

    Методом перебора кодов, подобрал код к программе. Компьютер перезагрузился, вроде все опять нормально стало. При проверке Антивирусом Касперского опять обнаружился руткит rootkit.win32.tdss.d. Попытка удалить его не увенчалась успехом.

    Добавлено через 1 час 12 минут

    Определил программу-вымогатель, ей оказался вирус packed.win32.krap.w.

    Снова попытался заменить файл atapi.sys при включенном Касперском, после замены файла через 2-3 секунды антивирус начал ругаться, что файл заражен руткитом rootkit.win32.tdss.y (после замены незначительно меняется размер файла).

    Утилита CureIt! не работает, но просканировал систему Rootkit.Win32.TDSS remover.

    В общем, состояние компьютера аналогичное тому, что было до обращения на форум...

    Добавлено через 42 минуты

    Обновил файл atapi.sys в безопасном режиме. После обычной загрузки сравнил размер с исходным файлом, все совпадает. Делаю сканирование Касперским, выдает ошибку, что опять найден rootkit.win32.tdss.d.

    Пробовал запускать утилиту TDSSKiller.exe, на строке с сообщением, что в файле atapi обнаружен руткит она виснет.

    Подскажите, пожалуйста, чем опасен данный руткит, какие уязвимости в системе появляются при его деятельности и как максимально заблокировать его работу, если не удается сейчас удалить?

    Добавлено через 6 минут

    Если необходимо, могу прислать новые логи...

    Добавлено через 2 минуты

    Судя по всему, дело не в самом файле atapi.sys, вирус хранится на скрытом шифрованном диске:

    http://www.drweb.com/static/BackDoor...5_aka_TDL3.pdf

    Добавлено через 19 минут

    Почитал больше информации:

    http://vms.drweb.com/virus/?i=441481

    Вопрос: Как можно заблокировать работу командных серверов руткита или удалить их из настроек вируса?

    Добавлено через 11 минут

    Обнаружил аналогичную ситуацию на англоязычном форуме:

    http://forum.kaspersky.com/lofiversi...p/t151122.html

    Может попробовать Malwarebytes' Anti-Malware?
    Последний раз редактировалось DmitryMaslennikov; 03.01.2010 в 02:25. Причина: Добавлено

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Malwarebytes' Anti-Malware не поможет.
    Еще раз загрузитесь с LiveCD и замените c:\windows\system32\drivers\atapi.sys а также C:\WINDOWS\system32\dllcache\atapi.sys на чистые файлы из дистрибутива (попробуем так).
    + выполните скрипт в аттаче, результат c:\avz_log.txt прикрепите к сообщению
    Вложение 200961
    Последний раз редактировалось миднайт; 03.01.2010 в 02:50. Причина: добавлен скрипт

  21. #20
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    30
    Заменил файлы в обоих директориях (drivers и dllcache)... Выполнил проверку скриптом, файл во вложениии...

    P.S. Когда заходил в систему через Live CD Dr.Web, файловый менеджер не сразу обнаружил требуемые директории в папке system32, пришлось обновить список директорий...

  • Уважаемый(ая) DmitryMaslennikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. rootkit.win32.tdss.fa
      От Saidrex в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.12.2010, 14:34
    2. Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab
      От Kuzz в разделе Вредоносные программы
      Ответов: 26
      Последнее сообщение: 07.11.2010, 18:56
    3. rootkit.win32.tdss.d
      От mckinnie в разделе Malware Removal Service
      Ответов: 20
      Последнее сообщение: 29.04.2010, 08:37
    4. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
      От Shanna в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2010, 17:42
    5. Rootkit.Win32.TDSS.a
      От graybk в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.06.2009, 10:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00942 seconds with 16 queries