22 ответов в этой теме

[oldsilver]

Сразу после загрузки появляется окно: Необходимо активировать Get Acselerator для доступа в интернет. Имеющиеся варианты на форуме не подошли. Cureit нашел вирус и обезвредил. В логах это отражено. После перезагрузки окно опять появляется с отключением интернета. При повторном входе в систему окно исчезает и открывается интернет. Повторная проверка Cureit нахоит тот же вирус, но в другой папке. Перезагрузка и опять все повторяется. Помогите пож.

Прикрепленные файлы:

•  hijackthis.log   7,58К   73 Скачано раз
•  log.rar   10,55К   48 Скачано раз
•  forum.rar   163,81К   17 Скачано раз
•  forum.rar   163,81К   41 Скачано раз
•  Report.txt   76,66К   55 Скачано раз

[v.martyanov]

Делайте логи по правилам, а то тему грохнут.

[oldsilver]

Делайте логи по правилам, а то тему грохнут.

Логи выложил в файле forum.rar и report.txt.

[oldsilver]

После удаления avast и установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.

[Borka]

После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.

А если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?

[Borka]

Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения

И еще:
C:\Windows\system32\drivers\eeeeeeea.sys

Сообщение было изменено Borka: 24 Ноябрь 2009 - 15:36
добавлено

[Eugeny Sharov]

Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения

Имя хоста для 70.103.101.103 : - www.zzz.com

[Borka]

Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения

Имя хоста для 70.103.101.103 : - www.zzz.com

У хостов слеши в другую сторону. Искать нужно в %sysdir%.

[oldsilver]

После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.

А если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?

Антивирус Версия Обновление Результат
a-squared 4.5.0.43 2009.11.24 Rootkit.Win32.TDSS!IK
AhnLab-V3 5.0.0.2 2009.11.24 Win-Trojan/Patched.X
AntiVir 7.9.1.70 2009.11.24 -
Antiy-AVL 2.0.3.7 2009.11.24 -
Authentium 5.2.0.5 2009.11.23 -
Avast 4.8.1351.0 2009.11.24 Win32:Patched-LF
AVG 8.5.0.425 2009.11.24 Rootkit-Pakes.U
BitDefender 7.2 2009.11.24 -
CAT-QuickHeal 10.00 2009.11.24 -
ClamAV 0.94.1 2009.11.24 -
Comodo 3019 2009.11.24 -
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565
eSafe 7.0.17.0 2009.11.23 -
eTrust-Vet 35.1.7139 2009.11.24 -
F-Prot 4.5.1.85 2009.11.23 -
F-Secure 9.0.15370.0 2009.11.20 -
Fortinet 4.0.14.0 2009.11.24 -
GData 19 2009.11.24 Win32:Patched-LF
Ikarus T3.1.1.74.0 2009.11.24 Rootkit.Win32.TDSS
Jiangmin 11.0.800 2009.11.24 Rootkit.TDSS.ctw
K7AntiVirus 7.10.903 2009.11.23 -
Kaspersky 7.0.0.125 2009.11.24 Rootkit.Win32.TDSS.u
McAfee 5811 2009.11.23 -
McAfee+Artemis 5811 2009.11.23 -
McAfee-GW-Edition 6.8.5 2009.11.24 -
Microsoft 1.5302 2009.11.24 Virus:Win32/Alureon.A
NOD32 4632 2009.11.24 Win32/Olmarik.OF
Norman 6.03.02 2009.11.24 W32/TDSS.drv.gen4.A
nProtect 2009.1.8.0 2009.11.24 Trojan/W32.Rootkit.21584
Panda 10.0.2.2 2009.11.23 -
PCTools 7.0.3.5 2009.11.24 -
Prevx 3.0 2009.11.24 -
Rising 22.23.01.09 2009.11.24 -
Sophos 4.47.0 2009.11.24 Mal/TDSSPack-V
Sunbelt 3.2.1858.2 2009.11.24 -
Symantec 1.4.4.12 2009.11.24 -
TheHacker 6.5.0.2.076 2009.11.23 -
TrendMicro 9.0.0.1003 2009.11.24 -
VBA32 3.12.12.0 2009.11.24 Rootkit.Win32.TDSL
ViRobot 2009.11.24.2051 2009.11.24 -
VirusBuster 5.0.21.0 2009.11.23 -

[Borka]

После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.

А если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?

Антивирус Версия Обновление Результат
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565

А в логе
C:\Windows\system32\drivers\atapi.sys - OK

Ждем Константина.
Пока проверьте остальные файлы на ВирусТотал.

[oldsilver]

Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения

И еще:
C:\Windows\system32\drivers\eeeeeeea.sys

Файла C:\Windows\system32\drivers\eeeeeeea.sys уже нет.

[oldsilver]

После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.

А если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?

Антивирус Версия Обновление Результат
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565

А в логе
C:\Windows\system32\drivers\atapi.sys - OK

Ждем Константина.
Пока проверьте остальные файлы на ВирусТотал.

Я загрузился с Mandriva и переписал файл на внешний диск. Затем загрузился опять в windows и проверил то, что было на внешнем диске.

[Borka]

Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения

И еще:
C:\Windows\system32\drivers\eeeeeeea.sys

Файла C:\Windows\system32\drivers\eeeeeeea.sys уже нет.

А сканер говорит, что есть:
C:\Windows\system32\drivers\eeeeeeea.sys - OK

22.04.2009 08:23 40 960 eeeeeeea.sys

Сообщение было изменено Borka: 24 Ноябрь 2009 - 16:10
добавлено

[Borka]

После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.

А если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?

Антивирус Версия Обновление Результат
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565

А в логе
C:\Windows\system32\drivers\atapi.sys - OK
Ждем Константина.
Пока проверьте остальные файлы на ВирусТотал.

Я загрузился с Mandriva и переписал файл на внешний диск. Затем загрузился опять в windows и проверил то, что было на внешнем диске.

Все правильно. Попробуйте еще раз загрузиться с внешнего носителя и поискать файлы
\\.\70.103.101.103\aekgoprn.dll или C:\Windows\system32\aekgoprn.dll
C:\Windows\system32\drivers\eeeeeeea.sys

[oldsilver]

А если проверить atapi.sys в Тотал на загруженой системе, то вирусов нет никаких.

АнтивирусВерсияОбновлениеРезультатa-squared4.5.0.412009.11.13-AhnLab-V35.0.0.22009.11.13-AntiVir7.9.1.652009.11.13-Antiy-AVL2.0.3.72009.11.13-Authentium5.2.0.52009.11.13-Avast4.8.1351.02009.11.13-AVG8.5.0.4252009.11.13-BitDefender7.22009.11.13-CAT-QuickHeal10.002009.11.13-ClamAV0.94.12009.11.13-Comodo29432009.11.13-DrWeb5.0.0.121822009.11.13-eSafe7.0.17.02009.11.12-eTrust-Vet35.1.71192009.11.13-F-Prot4.5.1.852009.11.13-F-Secure9.0.15370.02009.11.11-Fortinet3.120.0.02009.11.13-GData192009.11.13-IkarusT3.1.1.74.02009.11.13-Jiangmin11.0.8002009.11.12-K7AntiVirus7.10.8962009.11.13-Kaspersky7.0.0.1252009.11.13-McAfee58002009.11.12-McAfee+Artemis58002009.11.12-McAfee-GW-Edition6.8.52009.11.13-Microsoft1.52022009.11.13-NOD3246042009.11.13-Norman6.03.022009.11.13-nProtect2009.1.8.02009.11.13-Panda10.0.2.22009.11.13-PCTools7.0.3.52009.11.13-Prevx3.02009.11.13-Rising22.21.04.092009.11.13-Sophos4.47.02009.11.13-Sunbelt3.2.1858.22009.11.12-Symantec1.4.4.122009.11.13-TheHacker6.5.0.2.0672009.11.12-TrendMicro9.0.0.10032009.11.13-VBA323.12.10.112009.11.13-ViRobot2009.11.13.20352009.11.13-VirusBuster4.6.5.02009.11.13-АнтивирусВерсияОбновлениеРезультатa-squared4.5.0.412009.11.13-AhnLab-V35.0.0.22009.11.13-AntiVir7.9.1.652009.11.13-Antiy-AVL2.0.3.72009.11.13-Authentium5.2.0.52009.11.13-Avast4.8.1351.02009.11.13-AVG8.5.0.4252009.11.13-BitDefender7.22009.11.13-CAT-QuickHeal10.002009.11.13-ClamAV0.94.12009.11.13-Comodo29432009.11.13-DrWeb5.0.0.121822009.11.13-eSafe7.0.17.02009.11.12-eTrust-Vet35.1.71192009.11.13-F-Prot4.5.1.852009.11.13-F-Secure9.0.15370.02009.11.11-Fortinet3.120.0.02009.11.13-GData192009.11.13-IkarusT3.1.1.74.02009.11.13-Jiangmin11.0.8002009.11.12-K7AntiVirus7.10.8962009.11.13-Kaspersky7.0.0.1252009.11.13-McAfee58002009.11.12-McAfee+Artemis58002009.11.12-McAfee-GW-Edition6.8.52009.11.13-Microsoft1.52022009.11.13-NOD3246042009.11.13-Norman6.03.022009.11.13-nProtect2009.1.8.02009.11.13-Panda10.0.2.22009.11.13-PCTools7.0.3.52009.11.13-Prevx3.02009.11.13-Rising22.21.04.092009.11.13-Sophos4.47.02009.11.13-Sunbelt3.2.1858.22009.11.12-Symantec1.4.4.122009.11.13-TheHacker6.5.0.2.0672009.11.12-TrendMicro9.0.0.10032009.11.13-VBA323.12.10.112009.11.13-ViRobot2009.11.13.20352009.11.13-VirusBuster4.6.5.02009.11.13-

[Borka]

А если проверить atapi.sys в Тотал на загруженой системе, то вирусов нет никаких.

Ну, это и понятно - ТДСС подсовывает чистый.

[oldsilver]

Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения

И еще:
C:\Windows\system32\drivers\eeeeeeea.sys

Файла C:\Windows\system32\drivers\eeeeeeea.sys уже нет.

А сканер говорит, что есть:
C:\Windows\system32\drivers\eeeeeeea.sys - OK

22.04.2009 08:23 40 960 eeeeeeea.sys

Он был. Я сам обратил на него внимание. Но после сноса avast и установки drweb он исчез. Смотрел через FAR, т.ч. спрятаться он не мог. Я три раза просмотрел drivers/

Да. А как быть или где искать: [Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
b и т.п.
Может сделать новый комплект отчетов ?

[Borka]

Смотрел через FAR, т.ч. спрятаться он не мог. Я три раза просмотрел drivers/

Ну если на живой системе, то не факт, что он даст себя увидеть. Смотреть нужно в Мандриве... Так же, как и aekgoprn.dll (полагаю, он живет в C:\Windows\system32\)

Да. А как быть или где искать: [Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
b и т.п.
Может сделать новый комплект отчетов ?

Давайте новый комплект.

[oldsilver]

Направляю новый комплект отчетов

Прикрепленные файлы:

•  logos.rar   161,28К   31 Скачано раз

[Borka]

Направляю новый комплект отчетов

Что-то я не понял - у Вас сканер запущен одновременно с КуреИтом?