-
Junior Member
- Вес репутации
- 52
Rootkit.win32.tdss.d
Здравствуйте, Господа
Обращаюсь к Вам со следующей проблемой. Недавно мой компьютер был заражен программой-вымогателем (требовал отправить смс K706413900 на номер 4460 якобы для программы download master). После обращения в службу поддержки своего провайдера был получен код для деактивации программы (вводился в поле "введите код").
После удаления была установлена и зарегистрирована последняя версия Антивируса Касперского 2010. Была выполнена быстрая проверка, все прошло нормально.
По прошествии 2-х дней при очередном сканировании системы был обнаружен вирус Rootkit.win32.tdss.d. Поначалу Антивирус Касперского рекомендовал перезагрузку системы (для завершения удаления вируса). Однако, вирус при повторном сканировании оставался в системе. Позже антивирус при обнаружении данного вируса стал приводить к зависанию компьютера (вне зависимости от выбора варианта лечения вируса).
Пробовал удалить вирус утилитами TDSSKiller.exe и Rootkit.Win32.TDSS remover. Использование этих программ также приводит к зависанию компьютера.
Решил обратиться к Вам за помощью, в прикрепленных файлах вся необходимая информация (в соответствии с правилами форума).
Перед диагностикой делал все, что указано в правилах:
1. Антивирус Касперского с последними БД, однако проверку не удалось провести, т.к. компьютер зависает после обнаружения вируса
2. Пробовал проверить компьютер с помощью утилиты CureIt!, однако она также виснет.
3. Восстановление системы отключил
4. Последнее требования перед диагностикой тоже выполнил (пункт №6)
Надеюсь на Вашу помощь.
С уважением, Дмитрий Масленников
P.S. С Наступившим Новым годом!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winpg.dll','');
QuarantineFile('0.exe','');
QuarantineFile('c:\windows\system32\aswl2k.exe','');
DeleteFile('0.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118.
Сделайте новые логи.
-
-
+ к snifer67
Перед повторными логами обновите базы AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил, когда компьютер начал перезагружаться (закрылись все окна, остался один рабочий стол) произошло зависание.
Карантин пустой, программа по какой-то причине не смогла скопировать в него подозрительные файлы.
Новые логи в прикрепленных файлах.
Пробовал запустить программу Gmer, но она вылетает с сообщением об ошибке.
-
Junior Member
- Вес репутации
- 52
Обновил БД AVZ. Логи прилагаются.
-
-
-
Junior Member
- Вес репутации
- 52
ComboFix не запускается, пробовал переименовать, все равно виснет...
-
-
-
В каком файле находит Rootkit.win32.tdss.d?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Утилитой Dr.Web CureIt! опять не получилось просканировать компьютер. Зависает при попытке начать сканирование.
Rootkit.win32.tdss.d находится в системной памяти.
Добавлено через 2 минуты
Как понимаю, скорее всего руткит является одним из компонентов программы-вымогателя.
Последний раз редактировалось DmitryMaslennikov; 02.01.2010 в 12:52.
Причина: Добавлено
-
c:\windows\system32\drivers\atapi.sys - замените на чистый из дистрибутива.
-
-
Junior Member
- Вес репутации
- 52
Не могу найти подходящий дистрибутив. Смотрел на диске Windows XP, Где можно взять или скачать данный файл? Смотрел через поисковые системы, многие ищут этот файл, но нет ни одной подходящей ссылки...
-
Скачайте Live CD Dr.Web http://www.freedrweb.com/livecd/ и пролечите машину. Лечение зараженного драйвера пройдет на автомате.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 52
Загрузил систему с Live CD Dr.Web, выполнил проверку. Было обнаружено несколько вирусов (идентифицированы как WIN.WORM), а также некоторые файлы программы hijack были определены как зараженные...
После проверки ничего не изменилось, Антивирус Касперского по прежнему находит данный руткит в системе, компьютер виснет в ходе проверки.
-
Касперский находит вирус в файле или в системной памяти ?
-
-
Junior Member
- Вес репутации
- 52
В числе обнаруженных файлов не было драйвера c:\windows\system32\drivers\atapi.sys, можно его как-нибудь восстановить другим способом?
Добавлено через 35 секунд
Касперский находит вирус в системной памяти...
Добавлено через 2 минуты
При анализе через AVZ под подозрение попали файлы cpadvai.dll и icuuet.dll (потенциальные кейлогеры или троянские DLL).
Добавлено через 2 минуты
Читаю темы в сети, там говорится, что можно восстановить данный файл (c:\windows\system32\drivers\atapi.sys) в DOS (copy D:\i386\atapi.sy_ C:\winnt\system32\drivers\atapi.sys). Так ли это? Или не поможет?
Добавлено через 3 минуты
Может установить SP3 (для Windows XP)?
Последний раз редактировалось DmitryMaslennikov; 02.01.2010 в 21:07.
Причина: Добавлено
-
c:\windows\system32\drivers\atapi.sys - замените на файл в аттаче.
-
-
Junior Member
- Вес репутации
- 52
Захожу с другого компьютера.
Переустановил указанный файл, в системе произошли изменения.
Однако начало вылезать сообщение с предложением активации eKAV Antivirus (отправить смс К204414900 на номер 4460). Контрольная панель, редактор реестра, а также любые антивирусные программы невозможно запустить, на этот форум тоже невозможно зайти с зараженного компьютера.
Добавлено через 5 минут
Кстати, может кому поможет, некоторые коды для активации может выслать служба поддержки компании А1 Агрегатор (смс-сервисы которой используют злоумышленники). Телефон поддержки 8-800-555-01-02. Первый раз они помогли, назвали код сразу, сейчас сказали, что можно только отправить заявку на обработку запроса.
Добавлено через 1 час 56 минут
Методом перебора кодов, подобрал код к программе. Компьютер перезагрузился, вроде все опять нормально стало. При проверке Антивирусом Касперского опять обнаружился руткит rootkit.win32.tdss.d. Попытка удалить его не увенчалась успехом.
Добавлено через 1 час 12 минут
Определил программу-вымогатель, ей оказался вирус packed.win32.krap.w.
Снова попытался заменить файл atapi.sys при включенном Касперском, после замены файла через 2-3 секунды антивирус начал ругаться, что файл заражен руткитом rootkit.win32.tdss.y (после замены незначительно меняется размер файла).
Утилита CureIt! не работает, но просканировал систему Rootkit.Win32.TDSS remover.
В общем, состояние компьютера аналогичное тому, что было до обращения на форум...
Добавлено через 42 минуты
Обновил файл atapi.sys в безопасном режиме. После обычной загрузки сравнил размер с исходным файлом, все совпадает. Делаю сканирование Касперским, выдает ошибку, что опять найден rootkit.win32.tdss.d.
Пробовал запускать утилиту TDSSKiller.exe, на строке с сообщением, что в файле atapi обнаружен руткит она виснет.
Подскажите, пожалуйста, чем опасен данный руткит, какие уязвимости в системе появляются при его деятельности и как максимально заблокировать его работу, если не удается сейчас удалить?
Добавлено через 6 минут
Если необходимо, могу прислать новые логи...
Добавлено через 2 минуты
Судя по всему, дело не в самом файле atapi.sys, вирус хранится на скрытом шифрованном диске:
http://www.drweb.com/static/BackDoor...5_aka_TDL3.pdf
Добавлено через 19 минут
Почитал больше информации:
http://vms.drweb.com/virus/?i=441481
Вопрос: Как можно заблокировать работу командных серверов руткита или удалить их из настроек вируса?
Добавлено через 11 минут
Обнаружил аналогичную ситуацию на англоязычном форуме:
http://forum.kaspersky.com/lofiversi...p/t151122.html
Может попробовать Malwarebytes' Anti-Malware?
Последний раз редактировалось DmitryMaslennikov; 03.01.2010 в 02:25.
Причина: Добавлено
-
Malwarebytes' Anti-Malware не поможет.
Еще раз загрузитесь с LiveCD и замените c:\windows\system32\drivers\atapi.sys а также C:\WINDOWS\system32\dllcache\atapi.sys на чистые файлы из дистрибутива (попробуем так).
+ выполните скрипт в аттаче, результат c:\avz_log.txt прикрепите к сообщению
Вложение 200961
Последний раз редактировалось миднайт; 03.01.2010 в 02:50.
Причина: добавлен скрипт
-
-
Junior Member
- Вес репутации
- 52
Заменил файлы в обоих директориях (drivers и dllcache)... Выполнил проверку скриптом, файл во вложениии...
P.S. Когда заходил в систему через Live CD Dr.Web, файловый менеджер не сразу обнаружил требуемые директории в папке system32, пришлось обновить список директорий...