Добрый день!
Сегодня Доктор Вэб обнаружил BackDoor.Tdss.565, удалил его, через некоторое время он появился опять. Помогите удалить.
Добрый день!
Сегодня Доктор Вэб обнаружил BackDoor.Tdss.565, удалил его, через некоторое время он появился опять. Помогите удалить.
Здравствуйте. Давайте так -
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\kkr.exe'); QuarantineFile('C:\Program Files\SAM\module.dll',''); QuarantineFile('C:\WINDOWS\system32\sshnas21.dll',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe',''); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\kkr.exe',''); DeleteFile('c:\docume~1\9335~1\locals~1\temp\kkr.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe'); DeleteFile('C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job'); DelAutorunByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Services.exe'); DelAutorunByFileName('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\kovlafo'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\kovlafo\Parameters'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Повторите логи, отпишитесь о состоянии.
Если что - можно скачать утилиту TDSSKiller от Касперского и провериться ей - http://support.kaspersky.ru/viruses/utility
Последний раз редактировалось olejah; 09.07.2010 в 18:13.
Огромное спасибо за ответ!
Все скрипты выполнила.
Карантин отослала, вот новые логи
Так, осоновные гады вроде вымерли, получим карантин, я отчитаюсь, теперь выполните пожалуйста процедуру, описанную в первом сообщении этой темы - http://virusinfo.info/showthread.php?t=3519. И всё-таки я рекомендую скачать утилиту, ссылку на которую я дал выше и провериться ей, ок?
Добавлено через 3 минуты
Из того, что пошло в карантин было - C:\DOCUME~1\9335~1\LOCALS~1\Temp\Kkr.exe - Packed.Win32.Katusha.n
Последний раз редактировалось olejah; 09.07.2010 в 18:52. Причина: Добавлено
Так... процедуру выполнила и в той теме отписалась. Утилиту скачала, проверилась.
У меня ещё такой вопрос, наверно глупый. Теперь когда в интернет захожу, при открытии страниц вылетает сообщение от ИЕ : Эта страница имеет изъян в системе безопасности и может быть опасной. Хотите продолжить? - вот как бы это убрать?
Сам ИЕ не пользуюсь, но там есть список доверенных сайтов, ИЕ - Сервис - Свойства обозревателя - вкладка Безопасность - Надёжные узлы. Внесите сайты которым доверяете в этот список. После проверки TDSSKiller должна создать в корне диска С, по типу такого - TDSSKiller.2.3.2.2_02.07.2010_16.02.18_log.txt , выложите его сюда.
Вот лог
Marija, плохо дело, действительно TDSS, а это злостная штука, Вы перезагружались после работы TDSSKiller? Если нет, то сделайте это и повторите проверку с выкладыванием лога сюда.
Я прошу прощения, но я действительно не перезагружала компьютер
Вот новый лог
Ура, вроде вылечил, повторите ещё логи АВЗ, если не затруднит.
Ок, новые логи
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('tsk2DA.tmp',''); QuarantineFile('ACDV.dll',''); QuarantineFile('C:\WINDOWS\system32\mtvudnzd.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
Сделала, отправила.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('tsk2DA.tmp'); DeleteFile('C:\WINDOWS\system32\mtvudnzd.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Ещё разочек повторите логи, чтобы убедиться, что всё умерло.
Скрипт сделала, вот логи
Отлично, убиты. Что говорит Доктор Вэб?
Доктор Вэб утверждает что всё чисто!
Даже не знаю как вас благодорить!
СПАСИБО ВАМ ОГРОМНОЕ!
Не за что! C:\Program Files\Adobe\Reader 9.0 - вот это бы не мешало обновить, там дырок много.
Выполните еще такой скрипт:После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip для контроляКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sshnas21.dll'); DeleteFile('C:\Program Files\SAM\module.dll'); DelBHO('{B2150688-1AA5-4698-90BE-C3CBECBB5786}'); DeleteFileMask('C:\Program Files\SAM','*.*',true); DeleteDirectory('C:\Program Files\SAM'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\9335~1\locals~1\temp\kkr.exe - Packed.Win32.Katusha.n ( DrWEB: Trojan.DownLoad2.6517, BitDefender: Gen:Variant.Renos.24 )
Уважаемый(ая) Marija, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.