Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Najprawdopodobniej BackDoor.Tdss.565 BackDoor.Maxplus.24

fabios

Przez fabios
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

fabios

fabios

Opublikowano
Opublikowano

Witam forumowiczów i proszę o pomoc. Od jakiegoś czasu są ciągle jakieś kłopoty z działaniem programów i przeglądarki. Niestety używany jest avast ale i on ostatnio nie chce się aktualizować bo krzyczy, że nie może połączyć się z serwerem. Avast tylko sygnalizuje alert podczas korzystania z przeglądarki przy otwieraniu nawet znanych stron. Użyłem DrWeb cureit do skanowania ale podczas skanowania restaruje kompa sygnalizując o jakichś infekcjach typu backdoor.... Nazw niestety nie zdązyłem spisać. Poniżej log OTL:

 

http://wklej.org/id/747051/ - OTL.txt

http://wklej.org/id/747064/ - Extras.txt

 

Czekając na wsparcie wykonałem jeszcze skan GMER'em oraz Tdsskiller. Oba zasygnalizowały infekcję. Poniżej logi i screen

 

http://wklej.org/id/756829/ - Gmer.txt

http://www.fotosik.p...545f1a86c9.html - tdsskiller.jpg

Link do obrazka poprawiony. Log TDSSKiller trochę później zamieszczę... Muszę odszukać. Nie ukrywam, że trochę obawiam się nad uruchomieniem ComboFix'a więc pytanie czy jest to niezbędne?

 

http://wklej.org/id/756829/ - Log TDSSKiller

 

System WinXP - 32bit, Service Pack 3

 

Dziękuję

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Link do obrazka poprawiony. Log TDSSKiller trochę później zamieszczę... Muszę odszukać. Nie ukrywam, że trochę obawiam się nad uruchomieniem ComboFix'a więc pytanie czy jest to niezbędne?

 

I właśnie dlatego interesował mnie raport z TDSSKiller. Tak podejrzewałam, że posunąłeś się za daleko i dane sprzed wątku "czekając na wsparcie wykonałem jeszcze..." są już nieaktualne. Wdrożyłeś usuwanie w TDSSKiller, to nie był tylko skan:

 

18:12:01.0031 3592	Backup copy found, using it..
18:12:01.0156 3592	C:\WINDOWS\system32\DRIVERS\cdrom.sys - will be cured on reboot
18:12:02.0687 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\@ - will be deleted on reboot
18:12:02.0687 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\cfg.ini - will be deleted on reboot
18:12:02.0687 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\Desktop.ini - will be deleted on reboot
18:12:02.0906 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\oemid - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\U\00000001.@ - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\U\00000002.@ - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\U\00000004.@ - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\U\80000000.@ - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\U\80000004.@ - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\U\80000032.@ - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\1101717335\version - will be deleted on reboot
18:12:02.0937 3592	C:\WINDOWS\$NtUninstallKB40701$\2687766431 - will be deleted on reboot
18:12:02.0937 3592	Cdrom ( Virus.Win32.ZAccess.k ) - User select action: Cure 
18:12:02.0984 3592	C:\WINDOWS\system32\TcUsb.dll - copied to quarantine
18:12:03.0078 3592	HKLM\SYSTEM\ControlSet001\services\df5serv - will be deleted on reboot
18:12:03.0078 3592	HKLM\SYSTEM\ControlSet003\services\df5serv - will be deleted on reboot
18:12:03.0109 3592	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - cured
18:12:03.0125 3592	C:\WINDOWS\system32\TcUsb.dll - will be deleted on reboot
18:12:03.0125 3592	df5serv ( Backdoor.Multi.ZAccess.gen ) - User select action: Delete 
18:13:36.0921 0568	Deinitialize successp

 

W takiej sytuacji używanie ComboFix zbędne. TDSSKiller w najnowszej wersji spokojnie sobie radzi z tym wariantem ZeroAccess, który tu widzimy (i raport narzędzia mówi sam za siebie), choć nie usuwa wszystkiego. Po TDSSKiller trzeba jeszcze poprawić m.in. Winsock. W aktualnej sytuacji musisz zresetować system i zrobić od początku wszystkie logi: OTL + GMER.

 

 

 

 

.

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)

Sytuacja uległa znacznej poprawie. Teraz należy zastosować dalsze poprawki w kontekście usuwanie tej infekcji.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
netsh winsock reset /C
C:\WINDOWS\tasks\At*.job
rd /s /q C:\TDSSKiller_Quarantine /C
C:\WINDOWS\System32\dds_trash_log.cmd
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search Solver"
FF - prefs.js..browser.search.selectedEngine: "qtl"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
[2009-04-27 19:03:30 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\hjhqzzhj.default\searchplugins\winamp-search.xml
O3 - HKU\S-1-5-21-583907252-1606980848-1177238915-1003\..\Toolbar\ShellBrowser: (no name) - {60270DC7-9EA0-472F-9B77-66652C06246E} - No CLSID value found.
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Edytowane przez picasso
28.06.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...