Jump to content
СофтФорум - всё о компьютерах и не только

Не удаляется backdoor.Tdss.565


Recommended Posts

Здравствуйте!

Не получается удалить вирус backdoor.Tdss.565.

Точнее, и Dr.Web и AVPTool его находят, вроде бы обезвреживают или нейтрализуют, но при каждом новом запуске Windows, если запустить тот же сканер DrWeb или утилиту CureIt, все повторяется по-новой.

процесс в памяти c:\windows\system32\svchost.exe:1060

backdoor.Tdss.565

Файл virusinfo_syscheck.zip почему-то не прикрепляется. Может быть, что-то не так сделала. :blush2:

Попробую еще раз.

Помогите, пожалуйста, справиться с этой проблемой.

С уважением,

Лилия

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscure.zip

info.txt

log.txt

Link to comment
Share on other sites

Добрый вечер..!

Выполните проверку системы с Утилита TDSSKiller(Прикрепите лог)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Edited by icotonev
Link to comment
Share on other sites

Добрый вечер..!

Добрый вечер.

TDSSKiller проверку выполнила, лог не найду. Вот, что было в отчете:

C:\WINDOWS\system32\DRIVERS\atapi.sys - скопирован в карантин

C:\WINDOWS\system32\Drivers\sptd.sys - скопирован в карантин

\HardDisk0 - будет вылечен при перезагрузке

Комп перегрузился.

Combofix запустила, но чего-то ему сразу не хватило, потребовалась загрузка какой-то программы с сайта Microsoft.

Файл ComboFix.txt прикладываю.

По-моему, там как-то все не весело :(

ComboFix.txt

ComboFix.txt

Link to comment
Share on other sites

Здравствуйте, Лилия!

Добрый вечер.TDSSKiller проверку выполнила, лог не найду.

По умолчанию лог должен был сохраниться в корне системного диска, то есть C:

Проверьте файлы на www.virustotal.com и дайте ссылки на результаты проверок.

c:\windows\regedit.exec:\windows\explorer.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::c:\windows\DUMP3847.tmpc:\windows\DUMP6d7f.tmpc:\windows\DUMP756e.tmpc:\windows\DUMP5311.tmpc:\windows\DUMP398e.tmpc:\windows\DUMP33a2.tmpc:\windows\DUMP39fb.tmpc:\windows\DUMP48d0.tmpc:\windows\DUMP2c30.tmpc:\windows\DUMP6292.tmpc:\windows\DUMP31ce.tmpc:\windows\DUMP4bdd.tmpc:\windows\DUMP3c8c.tmpc:\windows\DUMP6e89.tmpc:\windows\DUMP3bc0.tmpc:\windows\DUMP4f58.tmpc:\windows\DUMP6e88.tmpc:\windows\DUMP3846.tmpc:\windows\DUMP6d40.tmpc:\windows\DUMP2e82.tmpc:\windows\DUMP34fa.tmpc:\windows\DUMP4f29.tmpc:\windows\DUMP4bed.tmpc:\windows\DUMP2f5d.tmpc:\windows\DUMP2579.tmpc:\windows\DUMP2a5b.tmpFCopy::c:\windows\system32\dllcache\atapi.sys | c:\windows\system32\drivers\atapi.sys

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Link to comment
Share on other sites

Здравствуйте, Лилия!

По умолчанию лог должен был сохраниться в корне системного диска, то есть C:

Ура, нашла лог. :blush2:

Прикладываю.

TDSSKiller.2.4.12.0_10.01.2011_18.32.17_log.txt

TDSSKiller.2.4.12.0_10.01.2011_18.32.17_log.txt

Link to comment
Share on other sites

Проверьте файлы на www.virustotal.com и дайте ссылки на результаты проверок.

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: f8485fea89169d7bab5394aa661e9df5

Date first seen: 2009-05-26 00:35:22 (UTC)

Date last seen: 2011-01-03 20:38:01 (UTC)

Detection ratio: 6/43

What do you wish to do?

я написала "View latest report" Вот, что мне выдал сайт:

https://www.virustotal.com/file-scan/report.html?id=f15b0eebb917dfee2c791575a2592dd7d2119ba22d58e076d3884c1a3f2983c7-1294087081

Про файл explorer он пишет то же самое...

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 654cec4951d1b505c84abb294709a83c

Date first seen: 2009-05-01 17:58:07 (UTC)

Date last seen: 2009-05-01 17:58:07 (UTC)

Detection ratio: 0/40

What do you wish to do?

Отметила " Vew latest report/

Вот ссылка: http://www.virustotal.com/file-scan/report.html?id=a561eaae8c7716b9ebdd33b06e41122b9023d4c40546e12e41a9b99828a2a8be-1241193487

ФайлCFScript.txt на рабочий стол сохранила.

Кошмар какой-то... :dontgetit:

Остальное постараюсь сделать

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

сейчас отправлю

СПАСИБО ВАМ огромное.

Link to comment
Share on other sites

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Хорошо, что успела, ответить, а то после запуска этой программы, ComboFix, все и отключилось...

Прикрепляю файл ComboFix, если найду его. Если это то.... Нашла!!! :rolleyes:

Вообще, похоже, ято backdoor отвязался... Но, видимо он (или что-то еще) напакостил порядочно на компьютере. :mad:

Еще раз спасибо!!!

ComboFix.rar

ComboFix.rar

Link to comment
Share on other sites

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Link to comment
Share on other sites

Загрузите GMER по одной из указанных ссылок

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Спасибо большое. Вроде бы все сделала...

Логи прилагаю.

С уважением,

Лилия

Gmer_scan.log

mbam-log-2011-01-14 (23-14-02).txt

Gmer_scan.log

mbam-log-2011-01-14 (23-14-02).txt

Link to comment
Share on other sites

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"

combofix-uninstall.jpg

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь.

Лилия, нужно будет заменить эти файлы на "чистые" с установочного диска Windows или аналогичной системы.Как произвести замену системных файлов

c:\windows\regedit.exec:\windows\system32\drivers\atapi.sys

У вас есть установочный диск Windows?

Вставьте установочный диск Windows XP.

Загрузитесь в Консоли восстановления

Введите:

expand X:\i386\atapi.sy_ c:\windows\system32\dllcache\atapi.sys
expand X:\i386\atapi.sy_ c:\windows\system32\drivers\atapi.sys
expand X:\i386\regedit.ex_ c:\windows\system32\dllcache\regedit.exe
expand X:\i386\regedit.ex_ c:\windows\regedit.exe

где X:\ - буква CD/DVD-привода.

Подтвердите переписывание файлов.

Чтобы выйти из консоли восстановления введите exit и нажмите клавишу ВВОД (ENTER).

Link to comment
Share on other sites

Деинсталлируйте ComboFix

Скачайте OTCleanIt, запустите

Обновите Internet Explorer до восьмой версии.

Деинсталировала ComboFix

Запустила OTCleanIt

Explorer обновила.

А вот дальше - проблемы.

Мне устанавливали Windows в компьютерной фирме, но загрузочный диск не дали. Помню, что меня это тогда удивило, но почему не дали, я не помню. Теперь уж как есть. :dontgetit:

Кроме того, он мне вообще не понравился, уж больно накрученный... Но сразу не переустановила, поэтому сейчас бы не хотелось.

У меня есть загрузочный Windows, но не тот, что установлен. Как поступить???

С уважением,

Лилия

Link to comment
Share on other sites

У меня есть загрузочный Windows, но не тот, что установлен. Как поступить??? С уважением,Лилия

Произведите замену файлов, загрузившись с этого диска (в BIOS необходимо выставить загрузку с CD-DVD привода).

Необходимые файлы atapi.sys и regedit.exe находятся во вложении, в архиве файлы.zip

Распакуйте архив с файлами в отдельную папку.

1.Скопируйте оба файла из вложения (atapi.sys и regedit.exe) с заменой в папку c:\windows\system32\dllcache\

2.Файл atapi.sys скопируйте в папку c:\windows\system32\drivers\

3.Файл regedit.exe скопируйте в папку c:\windows\

файлы.zip

файлы.zip

Edited by zirreX
Link to comment
Share on other sites

Произведите замену файлов, загрузившись с этого диска (в BIOS необходимо выставить загрузку с CD-DVD привода).

Необходимые файлы atapi.sys и regedit.exe находятся во вложении, в архиве файлы.zip

Распакуйте архив с файлами в отдельную папку.

1.Скопируйте оба файла из вложения (atapi.sys и regedit.exe) с заменой в папку c:\windows\system32\dllcache\

2.Файл atapi.sys скопируйте в папку c:\windows\system32\drivers\

3.Файл regedit.exe скопируйте в папку c:\windows\

Вроде бы сделала. Но папки c:\windows\system32\dllcache\ я не нашла, даже в скрытых.

Link to comment
Share on other sites

Вроде бы сделала. Но папки c:\windows\system32\dllcache\ я не нашла, даже в скрытых.

В "cборках" Windows часто отсутствует папка dllcache.

Главное это:

2.Файл atapi.sys скопируйте в папку c:\windows\system32\drivers\3.Файл regedit.exe скопируйте в папку c:\windows\

Как работает система? Проблемы еще есть?

Создайте новую контрольную точку восстановления и удалите зараженную:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

Link to comment
Share on other sites

  • 2 weeks later...

Как работает система? Проблемы еще есть?

Здравствуйте!

Простите, пожалуйста, раньше не было никакой возможности добраться до чистки компьютера.

Вроде бы все сделала. Файлы заменила, ATF Cleaner запустила.

Точку восстановления тоже создала, старые уничтожила.

Но компьютер продолжает как-то не очень адекватно работать.

Прежних проблем, конечно, нет. Но тормозит почему-то ужасно, например, почта на Яндексе, долго открываются окна, из панели задач не открывается Эксплорер (вообще не открывается).

Примерно так...

С уважением,

Лилия

Link to comment
Share on other sites

  • 2 weeks later...
  • 2 weeks later...
  • 3 weeks later...

thyrex

Выполните скрипт в AVZ

Больше придраться не к чему

Простите за задержку с ответом. Наконец-то была в долгожданном отпуске :D

Огромное спасибо за помощь!!!

С уважением,

Лилия

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...