63 ответов в этой теме

[Кошка]

Помогите плиз!

Что-то где-то поймала. Еще давно (судя по симптомам: подвисанию системы, непонятному хрюканью компьютера, периодическому вылету из интернета), но drweb ничего не находил.



Сейчас уже явно вирус во всю поднял свою голову.  Перейти из Мой компьютер в папку С:\\ удается только один раз (сразу после перезагрузки)  выдает сообщение "не удалось найти recycler\s-5-2-77-......... .com"



Перезагрузиться в безопастном режиме не получается или виснет или выдает синий экран. 

А так запускаешь антивирусник - он ничего не находит.



PS я совершенный чайник в этих вопросах. Так что если не сложно объясните мои дальнейшие действия словами попроще ).

Очень надеюсь на Вашу помощь

PPS отсылала подозрительный файл на Virustotal - там его идентифицировали как
DrWeb 4.44.0.09170 2009.03.30 BackDoor.Tdss.119

Сообщение было изменено Кошка: 30 Март 2009 - 15:49

[v.martyanov]

Помогите плиз!

Что-то где-то поймала. Еще давно (судя по симптомам: подвисанию системы, непонятному хрюканью компьютера, периодическому вылету из интернета), но drweb ничего не находил.



Сейчас уже явно вирус во всю поднял свою голову.  Перейти из Мой компьютер в папку С:\\ удается только один раз (сразу после перезагрузки)  выдает сообщение "не удалось найти recycler\s-5-2-77-......... .com"



Перезагрузиться в безопастном режиме не получается или виснет или выдает синий экран. 

А так запускаешь антивирусник - он ничего не находит.



PS я совершенный чайник в этих вопросах. Так что если не сложно объясните мои дальнейшие действия словами попроще ).

Очень надеюсь на Вашу помощь

PPS отсылала подозрительный файл на Virustotal - там его идентифицировали как
DrWeb 4.44.0.09170 2009.03.30 BackDoor.Tdss.119

Если на VT файл Dr.Web'ом определяется, вам следует скачать свежий CureIt и провести им полное сканирование. Также нужно выполнить правила из раздела "помощь по лечению" и кинуть на форум логи.

[Кошка]

Если на VT файл Dr.Web'ом определяется, вам следует скачать свежий CureIt и провести им полное сканирование. Также нужно выполнить правила из раздела "помощь по лечению" и кинуть на форум логи.

скачала  - вчера пол дня убила на то чтоб он полное сканирование сделал - писал вирусов нет. 


сегодня хотела запустить в безопастном режиме - а не выходит ( 



логи... сейчас попробую

Прикрепленные файлы:

•  Report.txt   44,4К   69 Скачано раз
•  hijackthis.log   10,63К   42 Скачано раз

[v.martyanov]

Если на VT файл Dr.Web'ом определяется, вам следует скачать свежий CureIt и провести им полное сканирование. Также нужно выполнить правила из раздела "помощь по лечению" и кинуть на форум логи.

скачала  - вчера пол дня убила на то чтоб он полное сканирование сделал - писал вирусов нет. 


сегодня хотела запустить в безопастном режиме - а не выходит ( 



логи... сейчас попробую

Пришлите в вирлаб эти файлы и опубликуйте тут номера тикетов

C:\WINDOWS\system32\HDBHO.dll
scp3sdhc.dll
spqq.sys


Также ОБЯЗАТЕЛЬНО меняйте DNS- и DHCP-сервера на корректные (спрашивайте у провайдера/админа). И готовьтесь к использованию LiveCD...

[Borka]

скачала  - вчера пол дня убила на то чтоб он полное сканирование сделал - писал вирусов нет. 

Полная проверка - это потом. Сейчас нужен лог КуреИта из правил.

Проверьте на ВирусТотал:
ipv6sp.dll - в виндовом или системном каталоге.
C:\WINDOWS\system32\ccfgcscd.dll

Пофиксите в Хайджеке:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O17 - HKLM\System\CCS\Services\Tcpip\..\{34432709-39AD-4CA4-A06C-C7C05D22F61A}: NameServer = 85.255.112.200,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{91133890-974C-427A-97C3-E6DA89164C39}: NameServer = 85.255.112.200,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.233,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.200,85.255.112.182
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.191,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.200,85.255.112.182
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\system32\ccfgcscd.dll (file missing)

[v.martyanov]

скачала  - вчера пол дня убила на то чтоб он полное сканирование сделал - писал вирусов нет. 

Полная проверка - это потом. Сейчас нужен лог КуреИта из правил.

Проверьте на ВирусТотал:
ipv6sp.dll - в виндовом или системном каталоге.
C:\WINDOWS\system32\ccfgcscd.dll

Пофиксите в Хайджеке:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O17 - HKLM\System\CCS\Services\Tcpip\..\{34432709-39AD-4CA4-A06C-C7C05D22F61A}: NameServer = 85.255.112.200,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{91133890-974C-427A-97C3-E6DA89164C39}: NameServer = 85.255.112.200,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.233,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.200,85.255.112.182
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.191,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.200,85.255.112.182
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\system32\ccfgcscd.dll (file missing)

А как HJ пофиксит DNS-сервера? Просто сбросит? Заодно надо и DHCP-сервер смотреть, его DnsChange.1008 тоже менять пытается.

[Borka]

А как HJ пофиксит DNS-сервера? Просто сбросит? Заодно надо и DHCP-сервер смотреть, его DnsChange.1008 тоже менять пытается.

По описанию - "Action taken: Registry value is deleted".

[v.martyanov]

А как HJ пофиксит DNS-сервера? Просто сбросит? Заодно надо и DHCP-сервер смотреть, его DnsChange.1008 тоже менять пытается.

По описанию - "Action taken: Registry value is deleted".

Скоро обратно восстановятся :-(

[Borka]

А как HJ пофиксит DNS-сервера? Просто сбросит? Заодно надо и DHCP-сервер смотреть, его DnsChange.1008 тоже менять пытается.

По описанию - "Action taken: Registry value is deleted".

Скоро обратно восстановятся :-(

А TDSS юзает Укртелегруп?

[v.martyanov]

А как HJ пофиксит DNS-сервера? Просто сбросит? Заодно надо и DHCP-сервер смотреть, его DnsChange.1008 тоже менять пытается.

По описанию - "Action taken: Registry value is deleted".

Скоро обратно восстановятся :-(

А TDSS юзает Укртелегруп?

Угу, и его тоже. Несколько подсетей Украины, в особенности Одессы.

[Borka]

А как HJ пофиксит DNS-сервера? Просто сбросит? Заодно надо и DHCP-сервер смотреть, его DnsChange.1008 тоже менять пытается.

По описанию - "Action taken: Registry value is deleted".

Скоро обратно восстановятся :-(

А TDSS юзает Укртелегруп?

Угу, и его тоже. Несколько подсетей Украины, в особенности Одессы.

Тогда точно TDSS сидит.

[Borka]

2Кошка: прочитайте http://forum.drweb.com/index.php?showtopic=277652, сделайте лог КуреИта по этим правилам.

[v.martyanov]

А как HJ пофиксит DNS-сервера? Просто сбросит? Заодно надо и DHCP-сервер смотреть, его DnsChange.1008 тоже менять пытается.

По описанию - "Action taken: Registry value is deleted".

Скоро обратно восстановятся :-(

А TDSS юзает Укртелегруп?

Угу, и его тоже. Несколько подсетей Украины, в особенности Одессы.

Тогда точно TDSS сидит.

Да тут можно не сомневаться: в логах RKU характерные "Unknown page with executable code" и адреса DNS. Как раз новость сейчас в RSS свалилась про обновление модулей для борьбы с ним.

[Кошка]

Пришлите в вирлаб эти файлы и опубликуйте тут номера тикетов

C:\WINDOWS\system32\HDBHO.dll
scp3sdhc.dll
spqq.sys


Также ОБЯЗАТЕЛЬНО меняйте DNS- и DHCP-сервера на корректные (спрашивайте у провайдера/админа). И готовьтесь к использованию LiveCD...

Что имеется ввиду под номерами тикетов?

Файл HDBHO.dll  Kaspersky 7.0.0.125 2009.03.30 Trojan-Downloader.Win32.Agent.bozg

а таких я не вижу файлов в папке (scp3sdhc.dll; spqq.sys)



не поняла что там с dns и dhcp серверами? 

Прикрепленные файлы:

•  hijackthis1.log   9,15К   39 Скачано раз

[v.martyanov]

Пришлите в вирлаб эти файлы и опубликуйте тут номера тикетов

C:\WINDOWS\system32\HDBHO.dll
scp3sdhc.dll
spqq.sys


Также ОБЯЗАТЕЛЬНО меняйте DNS- и DHCP-сервера на корректные (спрашивайте у провайдера/админа). И готовьтесь к использованию LiveCD...

Что имеется ввиду под номерами тикетов?

Файл HDBHO.dll  Kaspersky 7.0.0.125 2009.03.30 Trojan-Downloader.Win32.Agent.bozg

а таких я не вижу файлов в папке (scp3sdhc.dll; spqq.sys)



не поняла что там с dns и dhcp серверами? 

Файлы, которые тут указали, надо прислать через http://vms.drweb.com/sendvirus/ , указав категорию "Вирус, не определяемый Dr.Web" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.

Если файлов нет - ищите FAR'ом или ему подобным софтом на всем системном диске по имени. DNS и DHCP-сервера меняет Trojan.DnsChange.1008, который у вас наверняка есть. Их нужно попробовать поменять на "нормальные", хотя наверняка не поможет до полного излечения от TDSS.

[Кошка]

2Кошка: прочитайте http://forum.drweb.com/index.php?showtopic=277652, сделайте лог КуреИта по этим правилам.

сейчас делаю

[Borka]

Что имеется ввиду под номерами тикетов?

При отсылке в Вирлаб и указании собственного мыла на него приходит тикет, подтверждающий прием файла Вирлабом. Это номер типа #123456.

а таких я не вижу файлов в папке (scp3sdhc.dll; spqq.sys)

А по поиску? Хотя spqq.sys - это 99,9% отАлкоголя/Демона.
А
O20 - AppInit_DLLs: scp3sdhc.dll
фиксили в Хайджеке?

[Borka]

DNS и DHCP-сервера меняет Trojan.DnsChange.1008, который у вас наверняка есть. Их нужно попробовать поменять на "нормальные", хотя наверняка не поможет до полного излечения от TDSS.

А dns'ы Укртетлегруп исчезли из лога.

[v.martyanov]

DNS и DHCP-сервера меняет Trojan.DnsChange.1008, который у вас наверняка есть. Их нужно попробовать поменять на "нормальные", хотя наверняка не поможет до полного излечения от TDSS.

А dns'ы Укртетлегруп исчезли из лога.

А там может активация при перезагрузке быть. Я точно не помню, как там DNSChange прописывается. Но может повезло, и он неактивен :-)

[Borka]

DNS и DHCP-сервера меняет Trojan.DnsChange.1008, который у вас наверняка есть. Их нужно попробовать поменять на "нормальные", хотя наверняка не поможет до полного излечения от TDSS.

А dns'ы Укртетлегруп исчезли из лога.

А там может активация при перезагрузке быть. Я точно не помню, как там DNSChange прописывается. Но может повезло, и он неактивен :-)

Тогда попросим Кошку перегрузиться и повторить логи. Вместе с логом КуреИта.