TDSS, кто-то вылечивал? |
Привіт Гість ( Вхід | Реєстрація )
TDSS, кто-то вылечивал? |
Sergyg |
Apr 27 2011, 13:10
Пост
#1
|
Гидробиолог Група: Trusted Members Повідомлень: 947 З нами з: 1-April 09 З: Dnipropetrovsk Користувач №: 980 Стать: Чол Парк машин: мозок - понад GPU, CPU та GPU+CPU |
У мну собственно второе пришествие TDSS в XP sp3 (обновляетсо).
../зы: у мну во все моменты времени 2 установленных ОС (одинаковых)/ Первое (пришествие) длилось с полгода и в итоге я(?) понавыпонял в AVZ4, что даже переустановка не прошла (40 мин. сидел на этапе "осталось 34 мин. Установка устройств"). Удалось установить в тот же раздел Полную установку (тот же инсталл. пакет CD). Кроме того у на др. разделе была старая, мало посещаемая мною инсталляция ХР сп3 (там антируткиты стартовали и ничего не находили, т.е. всё Ок). В этой ОС я и жил последний месяц (или меньше). И вот п..ц пришел: Окно "Приветствие" висит мин. 3, антируткиты не стартуют, выход в интернет невозможен. Вчера мне пытались помочь в "свободной поддержке" http://kaspersky-911.ru/?action=case_show_...s&case_id=67877 ничего не вышло. Кто-либо боролся (успешно ) с вумными руткитами ? //в 1-й ОС оно блокировало доступ на USB-flash, потом и на карту телефона, подмена url адресов и НЕПРОБИВАНИЕ клавиш (6 и 9 в блоке для правой руки) - тоже его рук дело// |
Death |
Apr 27 2011, 14:14
Пост
#2
|
<script ///> Група: Moderators Повідомлень: 6 371 З нами з: 5-November 03 З: Kyiv Користувач №: 26 Стать: НеСкажу Free-DC_CPID Парк машин: гидропарк jabber:deadjdona@gmail.com |
freedrweb.com пробовал?
-------------------- |
tribal |
Apr 27 2011, 17:09
Пост
#3
|
Kранчер из глубинки Група: Trusted Members Повідомлень: 906 З нами з: 16-October 08 З: Горловка Користувач №: 845 Стать: Чол Free-DC_CPID Парк машин: AMD Athlon II X4 635@3.3GHz/ GF250GTS |
я ловил .... ситуация патовая была - антивиры не запускались... диспетчер задач не работал.. в реестр не пускало.. на сайты антивирусов тоже не пускало.. все что было с расширением exe com msi тоже загружать не давало, avz не стартовал ни с каким именем.. в защищенный режим тоже не пускало... выловил 2ми тулзами.. даже тремя, но как третья зовется не вспомню - первый Malwarebytes' Anti-Malware, второй SUPERAntiSpyware.. третья канула в лету.. там жуткая утилита была, и без гайда в нее лучше было не лезть - шаг влево, шаг в право - BSOD
-------------------- |
UA_Lex |
Apr 27 2011, 17:14
Пост
#4
|
мрію про ферму... Група: Trusted Members Повідомлень: 182 З нами з: 5-August 09 З: Бердянск Користувач №: 1 130 Стать: Чол Парк машин: Проц - AMD Athlon BE 7850@2800 MHz Видео - ATI Radeon HD 4870@750/900 Память - 4 Gb |
А liveCD какой нибудь есть с антивиром? У dr.web есть образ для флешки. Скачай на чужой машине и попробуй просканируй.
|
Sergyg |
Apr 27 2011, 18:10
Пост
#5
|
Гидробиолог Група: Trusted Members Повідомлень: 947 З нами з: 1-April 09 З: Dnipropetrovsk Користувач №: 980 Стать: Чол Парк машин: мозок - понад GPU, CPU та GPU+CPU |
хех, всё пробовал. Касперкие прислали специализированную пре-версию специальной антируткитовой утилиты - TDSSKiller.exe
Однако, она не запускается, как и та, что на сайте, после чего сообщили: QUOTE У меня плохая новость: автор TDSSkiller предполагает, что проблема с загрузкой не связана с действием вируса, а скорее системная проблема. |
nikelong |
Apr 27 2011, 18:19
Пост
#6
|
Тера ранчер Група: Trusted Members Повідомлень: 11 909 З нами з: 19-March 05 Користувач №: 92 Стать: Чол |
Первое что приходит в голову - загрузится с лайвсиди всяких говносборок вроде зверя (там уже и касперіч, и дрвєб фкамплекте),
второе - наслышан (но сам не пробовал) об этой софтине: http://biblprog.org.ua/ru/superantispyware/ -------------------- |
Sergyg |
Apr 27 2011, 18:23
Пост
#7
|
Гидробиолог Група: Trusted Members Повідомлень: 947 З нами з: 1-April 09 З: Dnipropetrovsk Користувач №: 980 Стать: Чол Парк машин: мозок - понад GPU, CPU та GPU+CPU |
я не в курсе, доступна ли вам ссылка моего лечения. Не думаю, что будет большим преступлением привести здесь переписку, ничего эдакого там нет. Буду заключать в квоты.
я QUOTE это видимо руткит TDSS. история велика: он угробил 1 WinXPsp3, но на другом разделе диска жила другая (редко посещаемая мною) инсталляция той же ОС. В ней проблемы не было и антивирусы руткита не находили. После переустановки ОС взамен "умершей" перешел в ту, которая была №2. Но месяц спустя проблемы начались и здесь. Итак, при давних сканированиях "это" именовали как TDSS.cf. КасперскийРемувалТуулс смог даже уничтожить 1 файл-носитель, которому подписывалось TDSS, однако это не облегчило участи. В умершей ОС были симптомы: с полгода(!) при загрузке ОС экран "Приветствие" висел 4 минуты (я терпел), потом прекратился доступ к содержимому USB-card, потом и к телефонам по USB. Потом стал невозможен запуск антируткитов. И многие операции сопорводжались сообщением "Недостаточно системных ресурсов..." в т.ч. и для входа в интернет (ADSL). Комп - Q6600,3Gb,Radeon3850,HDD: 500Gb+500Gb+160Gb(все - однопластинные, но файлов - много и полная проверка Куреитом или КасперскийРем.Туулз длится около 10часов (2млн.файлов/записей)). ----------------- Сейчас: Окно "Приветствие" грузится пару минут, интернет не доступен: "TCP/IP протокол сообщает об ошибке 1450: Недостаточно системных ресурсов для завершения операции". Malwarebytes' Anti-Malware - как бы нашел и удалил TDSS. PMaxKiller.exe, Norman_TDSS_Cleaner.exe, Norman_Sinowal_Cleaner.exe, Norman_Malware_Cleaner.exe - не грузятся, ошибка драйвера. TDSSKiller.exe пишет: - ошибка загрузки драйвера при 40% прогресса. т.е. не грузится. Gmer ничего подозрительного не видит, как и AVZ4. они QUOTE ...Запустите исполняемый файл Kaspersky Virus Removal Tool...Запомните путь к файлу avptool_sysinfo.zip я QUOTE При сканировании Virus Removal Tool нашел файл из списка подозрительных - Mama.sys (5kb) он легко удалился вручную (восстановление ОС всегда отключено), но в реестре есть ветка с содержимым Legacy_mama, которую не получается удалить вручную. Также не удается включить в AVZ4 -> AVZPM - ошибка 0000034 (руткит? не дает) они QUOTE Выполнить скрипт в AVPTool (Выполнено) я QUOTE Поведение компьютера никак не изменилось. Скрипт фактически не был выполнен. Ни через Virus Removal Tool (+перезагрузка), ни через ранее установленный AVZ4 (+перезагрузка). Вообще, при установках (с анинсталлами) Virus Removal Tool в течение последних пары дней - программа не устанавливается корректно: Вначале 3 раза мелькает сообщение, что для установки зайдите в Безопасный режим, но потом все файлы копируются и программа как бы работает. Но видимо, руткит её ограничивает. они QUOTE Собрать карантин в AVPTool (Выполнено) они QUOTE Скачайте слегка обновленную версию TDSSkiller отсюда - http://ifolder.ru/2******** Сделайте лог и прикрепите к сообщению я QUOTE не дают запуститься TDSSkiller-у: как и раньше - ошибка загрузки драйвера при 40% прогресса. т.е. не грузится антируткит. они QUOTE Сделайте лог ComboFix они QUOTE Проблема решена? я QUOTE нет, в интернет не входит, ОС грузится так же долго (2 мин.), остальное не проверял... т.к. сразу перезагрузился во вторую ОС, чтобы Вам отослать.. они QUOTE TDSSkiller запускается? я QUOTE TDSSKiller - всё так же: ошибка загрузки драйвера при 40% прогресса Norman_TDSS_Cleaner.exe после запуска теперь не пишет "ошибка драйвера", а пишет "Unable to load nsak.sys. Error (0x000000002) в AVZ4 по-прежнему не запусакется AVZPM. Gmer по-прежнему не находит ничего красного. PMaxKiller.exe теперь пишет: по-прежнему main: LoadDriver(KLMD x8) error, а следующая строчка теперь - крякозяблы Malwarebytes' Anti-Malware 1.50.1.1100 как и последние сутки при Быстром_осмотре - Вредоносных программ не обнаружено. setup_9.0.0.722_26.04.2011_14-06.exe --верхние 3 галки=вкл.-- ничего не находит CureIt (13.04.2011) - автоматическая короткая проверка системного содержимого (10мин.) - ничего не видит в логе Virus Removal Tool в ../Temp появились pxtdipow.sys(я его удалял средствами Tool) и новый S47v8Fwy.sys они QUOTE У меня плохая новость: автор TDSSkiller предполагает, что проблема с загрузкой не связана с действием вируса, а скорее системная проблема. я QUOTE не такая уж и плохая. Данная ОС установлена на винчестере Хитачи САТА2 7200 160Гб 2007 года выпуска и его состояние резко ухудшается. Если проблема связана с этим - то не страшно.| Или речь о моей ОС (устанавливаются свежие обновления он-лайн). Я слегка ознакомился с теорией TDSS http://www.xakep.ru/magazine/xa/134/054/1.asp . Насколько могу предполагать - руткит все же у меня "хорошо сидит".| В этой ОС, которая самая свежая и ещё здоровая (тот же инст.пакет ХРсп3) все антируткиты стартуют (ничего не находят, что и не кажется подозрительным) Модули AVZPM и AVZGuard благополучно запускаются.| Т.е. лечение может быть очень сложным или невозможным удаленно? они QUOTE Предписание 9: Завершение заявки |
Allineer |
Apr 27 2011, 18:24
Пост
#8
|
мрію про ферму... Група: Trusted Members Повідомлень: 186 З нами з: 15-February 11 Користувач №: 1 637 Стать: Чол |
Dr.Web Live-CD / LiveFlash - они из под линуха или CureIt! из под "говносборок типа зверя"
|
Sergyg |
Apr 27 2011, 18:33
Пост
#9
|
Гидробиолог Група: Trusted Members Повідомлень: 947 З нами з: 1-April 09 З: Dnipropetrovsk Користувач №: 980 Стать: Чол Парк машин: мозок - понад GPU, CPU та GPU+CPU |
товарищи, руткит можно обнаружить и пытаться нейтрализовать только, сидя в зараженной ОС, т.к. кака получает доступ к ядру ОС.
У мну щас 2шт. ХРсп3, я щас пишу, вхожу в Сеть из новой (неделя), пока живой ОС и в ней пытался также (1,5 суток) сканировать раздел с зараженной и вообще всех разделов на предмет говно-файлов, обеспечивающих поддержку руткиту... Но проблема в том, что таких файлов не видать, у руткита всё по-другому устроено. Я тут немного почитал, значительно поумнел , а толку... QUOTE Очень часто при борьбе с руткитами недостаточно только детектирования и снятия установленных перехватов: например, руткит может проверять состояние перехватов, и в случае их отсутствия – устанавливать заново. Кроме того, некоторые руткиты так же восстанавливают свои файлы, ключи и параметры системного реестра при их удалении антивирусной защитой. В подавляющем большинстве случаев все манипуляции по восстановлению объектов или перехватов осуществляются в отдельном потоке, работающем в контексте процесса System. Такой поток создаётся вызовом функций PsCreateSystemThread или IoAllocateWorkItem/IoQueueWorkItem из драйвера руткита, а в коде этого потока, в бесконечном цикле с фиксированной задержкой между итерациями по таймеру выполняется все полезные манипуляции. Очевидно, что для препятствия этим манипуляциям будет достаточно завершить поток с помощью отладчика По данным этого софта у мну оч свежая одна из наисовершеннейших версий руткита ------------------- На данный момент внутри зараженной ОС только ComboFix после сканирования пишет: обнаружен руткит TDL4 ...... .... .... лечение проведено.. Что интересно сразу же УДАЕТСЯ запускать TDSSKiller.exe Касперского, который сканирует ОС (20сек) и пишет "руткитов не обнаружено". Но если одновременно пытаться запустить другие антируктиты - они не запускаются. А пару минут спустя - TDSSKiller.exe снова не загружается, останавливаясь на 40%. Т.е. никто ничего не видит, ComboFix всегда видит, перезагружает, ... и потом опять видит каку. QUOTE Авторы TDL4 применили довольно изящный способ обхода, который заключается в использовании техник заражения MBR и старта вредоносного кода раньше самой операционной системы. Итак, теперь заражение осуществляется следующим образом: — Открывается описатель физического устройства (в нашем случае это \\??\PhysicalDrive0), на котором располагается раздел с именем C: — Подготавливается и записывается образ своей файловой системы в конец жесткого диска — Перезаписывается MBR — кодом, который осуществляет загрузку модулей в ранее подготовленной файловой системе — После успешного заражения на x64 системах происходит перезагрузка, при помощи вызова функции ExitWindowsEx(). Не понимаю, как понимать ихний ответ "У меня плохая новость: автор TDSSkiller предполагает, что проблема с загрузкой не связана с действием вируса, а скорее системная проблема." Железо у меня рабочее, да винчестер слегка подыхает , но мои проблемы - это не БСОДы, не checkdisk это всё же зловред орудует. И кстати месяц назад умершая ОС была на нoвеньком WD 5000AAKS |
Waterfall |
Apr 27 2011, 18:53
Пост
#10
|
Эрудит Група: Trusted Members Повідомлень: 1 607 З нами з: 24-May 10 З: Україна,Одеса(Odessa) Користувач №: 1 401 Стать: Чол Парк машин: ПК: Pentium, 2.80 GHz Ноут:DELL Studio, 2.26 GHz |
Б....,шо твориться! Я прочитав про біду, cпробував і в себе поставив цю SuperAntiSpyware 4.51.1000,так вона зразу в папці System32 піймала Тrojan.Agent/Gen; Тrojan.Agent/Gen-FraudTool і ще якусь третю заразу тіпа екранної заставки NotHarmful.SysinternalsBluescreenScreenSaver. Це при тому, що я цілком був впевнений в своїх ESET NOD32 Smart Security і Malwarebytes' Anti-Malware (з періодичною перевіркою)! Сенкс за цікавий матеріал і досвід! |
nikelong |
Apr 27 2011, 19:29
Пост
#11
|
Тера ранчер Група: Trusted Members Повідомлень: 11 909 З нами з: 19-March 05 Користувач №: 92 Стать: Чол |
Б....,шо твориться! Я прочитав про біду, cпробував і в себе поставив цю SuperAntiSpyware 4.51.1000 А вобще да, тред подтверждает то что всяк антивирус эффективен ТОЛЬКО если он знает о существовании заразы ( = знает как её лечить) -------------------- |
Waterfall |
Apr 27 2011, 20:49
Пост
#12
|
Эрудит Група: Trusted Members Повідомлень: 1 607 З нами з: 24-May 10 З: Україна,Одеса(Odessa) Користувач №: 1 401 Стать: Чол Парк машин: ПК: Pentium, 2.80 GHz Ноут:DELL Studio, 2.26 GHz |
А вобще да, тред подтверждает то что всяк антивирус эффективен ТОЛЬКО если он знает о существовании заразы ( = знает как её лечить) Re: Що цікаво, тепер і Everest ідентифікував цю прогу в розділі Security - Anti-Spyware, значить її система сприйняла (как родную) і бачить! Нехай стоять тепер паралельно з NODом ! Поспостерігаю, як вони вживуться поміж собою ! |
A1ex01 |
Apr 27 2011, 20:58
Пост
#13
|
round catcher) Група: Trusted Members Повідомлень: 1 365 З нами з: 27-August 08 З: Kyiv Користувач №: 809 Стать: Чол Парк машин: хз*X2/2/500/хз*5870 ц7x64 |
і ще якусь третю заразу тіпа екранної заставки NotHarmful.SysinternalsBluescreenScreenSaver. http://technet.microsoft.com/en-us/sysinternals/bb897558 -------------------- |
Waterfall |
Apr 27 2011, 21:13
Пост
#14
|
Эрудит Група: Trusted Members Повідомлень: 1 607 З нами з: 24-May 10 З: Україна,Одеса(Odessa) Користувач №: 1 401 Стать: Чол Парк машин: ПК: Pentium, 2.80 GHz Ноут:DELL Studio, 2.26 GHz |
Отож.... Дякую,A1ex01. Познаватєльно,особливо: "Use Bluescreen to amaze your friends and scare your enemies!". Мене і "удивили и напугали" одночасно пару раз за останні два тижня цим синім екраном! А я думаю, шо таке, вже на що тільки не думав, думав може якийсь конфлікт між логічними дисками, може відяха,так як там були зазначена помилка відносно ati ? А сьогодні тільки позбавився цієї зарази! Тьфу..тьфу, щоб не зглазить, а то зараз знову хтось підкине! Звідкіля це все лізе - мені, особисто,не зрозуміло! Окрім мене нікого зараз тут немає, нікуди майже не лажу.... P.S. Ще раз дякую, на цьому все, а то ми основну тему Sergyg забили, давайте йому щось ще підскажіть ! |
Death |
Apr 27 2011, 21:56
Пост
#15
|
<script ///> Група: Moderators Повідомлень: 6 371 З нами з: 5-November 03 З: Kyiv Користувач №: 26 Стать: НеСкажу Free-DC_CPID Парк машин: гидропарк jabber:deadjdona@gmail.com |
-------------------- |
Lo-Fi Версія | Поточний час: 28th April 2024 - 03:38 |