Показано с 1 по 20 из 20.

BackDoor.Tdss.565 (заявка № 82786)

  1. #1
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63

    Thumbs up BackDoor.Tdss.565

    Добрый день!

    Сегодня Доктор Вэб обнаружил BackDoor.Tdss.565, удалил его, через некоторое время он появился опять. Помогите удалить.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Здравствуйте. Давайте так -

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\kkr.exe');
     QuarantineFile('C:\Program Files\SAM\module.dll','');
     QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\kkr.exe','');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\kkr.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe');
     DeleteFile('C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
     DelAutorunByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe');
     DelAutorunByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\kovlafo');
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\kovlafo\Parameters');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Повторите логи, отпишитесь о состоянии.

    Если что - можно скачать утилиту TDSSKiller от Касперского и провериться ей - http://support.kaspersky.ru/viruses/utility
    Последний раз редактировалось olejah; 09.07.2010 в 18:13.

  4. #3
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Огромное спасибо за ответ!
    Все скрипты выполнила.
    Карантин отослала, вот новые логи

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Так, осоновные гады вроде вымерли, получим карантин, я отчитаюсь, теперь выполните пожалуйста процедуру, описанную в первом сообщении этой темы - http://virusinfo.info/showthread.php?t=3519. И всё-таки я рекомендую скачать утилиту, ссылку на которую я дал выше и провериться ей, ок?

    Добавлено через 3 минуты

    Из того, что пошло в карантин было - C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe - Packed.Win32.Katusha.n
    Последний раз редактировалось olejah; 09.07.2010 в 18:52. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Так... процедуру выполнила и в той теме отписалась. Утилиту скачала, проверилась.
    У меня ещё такой вопрос, наверно глупый. Теперь когда в интернет захожу, при открытии страниц вылетает сообщение от ИЕ : Эта страница имеет изъян в системе безопасности и может быть опасной. Хотите продолжить? - вот как бы это убрать?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Сам ИЕ не пользуюсь, но там есть список доверенных сайтов, ИЕ - Сервис - Свойства обозревателя - вкладка Безопасность - Надёжные узлы. Внесите сайты которым доверяете в этот список. После проверки TDSSKiller должна создать в корне диска С, по типу такого - TDSSKiller.2.3.2.2_02.07.2010_16.02.18_log.txt , выложите его сюда.

  8. #7
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Вот лог

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Marija, плохо дело, действительно TDSS, а это злостная штука, Вы перезагружались после работы TDSSKiller? Если нет, то сделайте это и повторите проверку с выкладыванием лога сюда.

  10. #9
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Я прошу прощения, но я действительно не перезагружала компьютер
    Вот новый лог

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Ура, вроде вылечил, повторите ещё логи АВЗ, если не затруднит.

  12. #11
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Ок, новые логи

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('tsk2DA.tmp','');
     QuarantineFile('ACDV.dll','');
     QuarantineFile('C:\WINDOWS\system32\mtvudnzd.dll','');  
     BC_ImportAll;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  14. #13
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Сделала, отправила.

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('tsk2DA.tmp');
     DeleteFile('C:\WINDOWS\system32\mtvudnzd.dll');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Ещё разочек повторите логи, чтобы убедиться, что всё умерло.

  16. #15
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Скрипт сделала, вот логи

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Отлично, убиты. Что говорит Доктор Вэб?

  18. #17
    Junior Member Репутация
    Регистрация
    28.01.2007
    Сообщений
    30
    Вес репутации
    63
    Доктор Вэб утверждает что всё чисто!
    Даже не знаю как вас благодорить!
    СПАСИБО ВАМ ОГРОМНОЕ!

  19. #18
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Не за что! C:\Program Files\Adobe\Reader 9.0 - вот это бы не мешало обновить, там дырок много.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Выполните еще такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
     DeleteFile('C:\Program Files\SAM\module.dll');
     DelBHO('{B2150688-1AA5-4698-90BE-C3CBECBB5786}');
    DeleteFileMask('C:\Program Files\SAM','*.*',true);
    DeleteDirectory('C:\Program Files\SAM');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip для контроля

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\9335~1\locals~1\temp\kkr.exe - Packed.Win32.Katusha.n ( DrWEB: Trojan.DownLoad2.6517, BitDefender: Gen:Variant.Renos.24 )


  • Уважаемый(ая) Marija, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Tdss.565, Backdoor.Tdss.4005 не могу удалить
      От NIX в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.02.2011, 15:51
    2. BackDoor.Tdss и т.д.
      От Folken в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.09.2010, 23:21
    3. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
      От Shanna в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2010, 17:42
    4. BackDoor.Tdss.565
      От Uand в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 01.11.2009, 15:45
    5. backdoor.tdss.565
      От chiz1 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 21.10.2009, 18:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00941 seconds with 20 queries