У мну собственно второе пришествие TDSS в XP sp3 (обновляетсо).
../зы: у мну во все моменты времени 2 установленных ОС (одинаковых)/
Первое (пришествие) длилось с полгода и в итоге я(?) понавыпонял в AVZ4, что даже переустановка не прошла (40 мин. сидел на этапе "осталось 34 мин. Установка устройств"). Удалось установить в тот же раздел Полную установку (тот же инсталл. пакет CD).

Кроме того у на др. разделе была старая, мало посещаемая мною инсталляция ХР сп3 (там антируткиты стартовали и ничего не находили, т.е. всё Ок). В этой ОС я и жил последний месяц (или меньше). И вот п..ц пришел: Окно "Приветствие" висит мин. 3, антируткиты не стартуют, выход в интернет невозможен.

Вчера мне пытались помочь в "свободной поддержке" http://kaspersky-911.ru/?action=case_show_...s&case_id=67877
ничего не вышло.

Кто-либо боролся (успешно ) с вумными руткитами ?

//в 1-й ОС оно блокировало доступ на USB-flash, потом и на карту телефона, подмена url адресов и НЕПРОБИВАНИЕ клавиш (6 и 9 в блоке для правой руки) - тоже его рук дело//

freedrweb.com пробовал?

я ловил .... ситуация патовая была - антивиры не запускались... диспетчер задач не работал.. в реестр не пускало.. на сайты антивирусов тоже не пускало.. все что было с расширением exe com msi тоже загружать не давало, avz не стартовал ни с каким именем.. в защищенный режим тоже не пускало... выловил 2ми тулзами.. даже тремя, но как третья зовется не вспомню - первый Malwarebytes' Anti-Malware, второй SUPERAntiSpyware.. третья канула в лету.. там жуткая утилита была, и без гайда в нее лучше было не лезть - шаг влево, шаг в право - BSOD

А liveCD какой нибудь есть с антивиром? У dr.web есть образ для флешки. Скачай на чужой машине и попробуй просканируй.

хех, всё пробовал. Касперкие прислали специализированную пре-версию специальной антируткитовой утилиты - TDSSKiller.exe

Однако, она не запускается, как и та, что на сайте, после чего сообщили:

Первое что приходит в голову - загрузится с лайвсиди всяких говносборок вроде зверя (там уже и касперіч, и дрвєб фкамплекте),

второе - наслышан (но сам не пробовал) об этой софтине:
http://biblprog.org.ua/ru/superantispyware/

я не в курсе, доступна ли вам ссылка моего лечения. Не думаю, что будет большим преступлением привести здесь переписку, ничего эдакого там нет. Буду заключать в квоты.

я

QUOTE

это видимо руткит TDSS.
история велика: он угробил 1 WinXPsp3, но на другом разделе диска жила другая (редко посещаемая мною) инсталляция той же ОС. В ней проблемы не было и антивирусы руткита не находили. После переустановки ОС взамен "умершей" перешел в ту, которая была №2. Но месяц спустя проблемы начались и здесь.
Итак, при давних сканированиях "это" именовали как TDSS.cf. КасперскийРемувалТуулс смог даже уничтожить 1 файл-носитель, которому подписывалось TDSS, однако это не облегчило участи.
В умершей ОС были симптомы: с полгода(!) при загрузке ОС экран "Приветствие" висел 4 минуты (я терпел), потом прекратился доступ к содержимому USB-card, потом и к телефонам по USB. Потом стал невозможен запуск антируткитов. И многие операции сопорводжались сообщением "Недостаточно системных ресурсов..." в т.ч. и для входа в интернет (ADSL).
Комп - Q6600,3Gb,Radeon3850,HDD: 500Gb+500Gb+160Gb(все - однопластинные, но файлов - много и полная проверка Куреитом или КасперскийРем.Туулз длится около 10часов (2млн.файлов/записей)).
-----------------
Сейчас: Окно "Приветствие" грузится пару минут, интернет не доступен: "TCP/IP протокол сообщает об ошибке 1450: Недостаточно системных ресурсов для завершения операции".

Malwarebytes' Anti-Malware - как бы нашел и удалил TDSS.
PMaxKiller.exe, Norman_TDSS_Cleaner.exe, Norman_Sinowal_Cleaner.exe, Norman_Malware_Cleaner.exe - не грузятся, ошибка драйвера.
TDSSKiller.exe пишет: - ошибка загрузки драйвера при 40% прогресса. т.е. не грузится.
Gmer ничего подозрительного не видит, как и AVZ4.

они

QUOTE

...Запустите исполняемый файл Kaspersky Virus Removal Tool...Запомните путь к файлу avptool_sysinfo.zip

я

QUOTE

При сканировании Virus Removal Tool нашел файл из списка подозрительных - Mama.sys (5kb) он легко удалился вручную (восстановление ОС всегда отключено), но в реестре есть ветка с содержимым Legacy_mama, которую не получается удалить вручную. Также не удается включить в AVZ4 -> AVZPM - ошибка 0000034 (руткит? не дает)

они

QUOTE

Выполнить скрипт в AVPTool (Выполнено)

я

QUOTE

Поведение компьютера никак не изменилось. Скрипт фактически не был выполнен. Ни через Virus Removal Tool (+перезагрузка), ни через ранее установленный AVZ4 (+перезагрузка). Вообще, при установках (с анинсталлами) Virus Removal Tool в течение последних пары дней - программа не устанавливается корректно: Вначале 3 раза мелькает сообщение, что для установки зайдите в Безопасный режим, но потом все файлы копируются и программа как бы работает. Но видимо, руткит её ограничивает.

они

QUOTE

Собрать карантин в AVPTool (Выполнено)

они

QUOTE

Скачайте слегка обновленную версию TDSSkiller отсюда - http://ifolder.ru/2********
Сделайте лог и прикрепите к сообщению

я

QUOTE

не дают запуститься TDSSkiller-у: как и раньше - ошибка загрузки драйвера при 40% прогресса. т.е. не грузится антируткит.

они

QUOTE

Сделайте лог ComboFix

они

QUOTE

Проблема решена?

я

QUOTE

нет, в интернет не входит, ОС грузится так же долго (2 мин.), остальное не проверял... т.к. сразу перезагрузился во вторую ОС, чтобы Вам отослать..

они

QUOTE

TDSSkiller запускается?

я

QUOTE

TDSSKiller - всё так же: ошибка загрузки драйвера при 40% прогресса Norman_TDSS_Cleaner.exe после запуска теперь не пишет "ошибка драйвера", а пишет "Unable to load nsak.sys. Error (0x000000002) в AVZ4 по-прежнему не запусакется AVZPM. Gmer по-прежнему не находит ничего красного. PMaxKiller.exe теперь пишет: по-прежнему main: LoadDriver(KLMD x8) error, а следующая строчка теперь - крякозяблы Malwarebytes' Anti-Malware 1.50.1.1100 как и последние сутки при Быстром_осмотре - Вредоносных программ не обнаружено. setup_9.0.0.722_26.04.2011_14-06.exe --верхние 3 галки=вкл.-- ничего не находит CureIt (13.04.2011) - автоматическая короткая проверка системного содержимого (10мин.) - ничего не видит в логе Virus Removal Tool в ../Temp появились pxtdipow.sys(я его удалял средствами Tool) и новый S47v8Fwy.sys

они

QUOTE

У меня плохая новость: автор TDSSkiller предполагает, что проблема с загрузкой не связана с действием вируса, а скорее системная проблема.

я

QUOTE

не такая уж и плохая. Данная ОС установлена на винчестере Хитачи САТА2 7200 160Гб 2007 года выпуска и его состояние резко ухудшается. Если проблема связана с этим - то не страшно.| Или речь о моей ОС (устанавливаются свежие обновления он-лайн). Я слегка ознакомился с теорией TDSS http://www.xakep.ru/magazine/xa/134/054/1.asp . Насколько могу предполагать - руткит все же у меня "хорошо сидит".| В этой ОС, которая самая свежая и ещё здоровая (тот же инст.пакет ХРсп3) все антируткиты стартуют (ничего не находят, что и не кажется подозрительным) Модули AVZPM и AVZGuard благополучно запускаются.| Т.е. лечение может быть очень сложным или невозможным удаленно?

они

QUOTE

Предписание 9: Завершение заявки

Dr.Web Live-CD / LiveFlash - они из под линуха или CureIt! из под "говносборок типа зверя"

товарищи, руткит можно обнаружить и пытаться нейтрализовать только, сидя в зараженной ОС, т.к. кака получает доступ к ядру ОС.

У мну щас 2шт. ХРсп3, я щас пишу, вхожу в Сеть из новой (неделя), пока живой ОС и в ней пытался также (1,5 суток) сканировать раздел с зараженной и вообще всех разделов на предмет говно-файлов, обеспечивающих поддержку руткиту...

Но проблема в том, что таких файлов не видать, у руткита всё по-другому устроено. Я тут немного почитал, значительно поумнел , а толку...

По данным этого софта у мну оч свежая одна из наисовершеннейших версий руткита
-------------------
На данный момент внутри зараженной ОС только ComboFix после сканирования пишет: обнаружен руткит TDL4 ...... .... .... лечение проведено.. Что интересно сразу же УДАЕТСЯ запускать TDSSKiller.exe Касперского, который сканирует ОС (20сек) и пишет "руткитов не обнаружено". Но если одновременно пытаться запустить другие антируктиты - они не запускаются.
А пару минут спустя - TDSSKiller.exe снова не загружается, останавливаясь на 40%.

Т.е. никто ничего не видит, ComboFix всегда видит, перезагружает, ... и потом опять видит каку.

Не понимаю, как понимать ихний ответ "У меня плохая новость: автор TDSSkiller предполагает, что проблема с загрузкой не связана с действием вируса, а скорее системная проблема."
Железо у меня рабочее, да винчестер слегка подыхает , но мои проблемы - это не БСОДы, не checkdisk это всё же зловред орудует. И кстати месяц назад умершая ОС была на нoвеньком WD 5000AAKS

Б....,шо твориться! Я прочитав про біду, cпробував і в себе поставив цю SuperAntiSpyware 4.51.1000,так вона зразу в папці System32 піймала Тrojan.Agent/Gen; Тrojan.Agent/Gen-FraudTool і ще якусь третю заразу тіпа екранної заставки NotHarmful.SysinternalsBluescreenScreenSaver. Це при тому, що я цілком був впевнений в своїх ESET NOD32 Smart Security і Malwarebytes' Anti-Malware (з періодичною перевіркою)! Сенкс за цікавий матеріал і досвід!

А вобще да, тред подтверждает то что всяк антивирус эффективен ТОЛЬКО если он знает о существовании заразы ( = знает как её лечить)

Re: Що цікаво, тепер і Everest ідентифікував цю прогу в розділі Security - Anti-Spyware, значить її система сприйняла (как родную) і бачить!
Нехай стоять тепер паралельно з NODом ! Поспостерігаю, як вони вживуться поміж собою !

http://technet.microsoft.com/en-us/sysinternals/bb897558

Отож.... Дякую,A1ex01. Познаватєльно,особливо: "Use Bluescreen to amaze your friends and scare your enemies!". Мене і "удивили и напугали" одночасно пару раз за останні два тижня цим синім екраном! А я думаю, шо таке, вже на що тільки не думав, думав може якийсь конфлікт між логічними дисками, може відяха,так як там були зазначена помилка відносно ati ? А сьогодні тільки позбавився цієї зарази! Тьфу..тьфу, щоб не зглазить, а то зараз знову хтось підкине! Звідкіля це все лізе - мені, особисто,не зрозуміло! Окрім мене нікого зараз тут немає, нікуди майже не лажу....

P.S. Ще раз дякую, на цьому все, а то ми основну тему Sergyg забили, давайте йому щось ще підскажіть !

http://www.safer-networking.org/en/download/

Sergyg так важно именно вылечить? Наверно format c: будет самым эффективным средством

попробуй http://technet.microsoft.com/en-us/sysinternals/bb897445

по последней ссылке A1ex01 антируткит 2006 года, скачал, не запускаецца, блокируют его сразу ))
щас качну Eset , попробую без всякой надежды, просто статьи по разоблачениям руткитов пишут именно они ))
UA_Lex - начну уже копировать "хорошие(?)" файлы с винта 160гб на другие, готовясь к его лоу-формату. Главное лишнего не прихватить.
Ещё не знаю, озадачить ли комьюнити на http://virusinfo.info чтоб попробовали что-то сделать, а то ведь так вирусы впереди антивирусов (я уже давно так говорю знакомым, после безуспешной борьбы вирусом Beagle )
Но тут ещё хуже, выходит технологии руткита ушли слишком далеко, работает на уровне железа, обманывает всех. Имхо, отрежешь его кусочек где-то - и он самовосставовится и потом уже никаких следов вообще никто не видит. Афигеть...
Почти уверен, что на virusinfo не помогут, т.к. я использовал все ихние методы борьбы... они блокированы

http://www.safer-networking.org/en/download/ пробовал?

пробовал, сорри, что не отписал - 5 сек проверки и... все чисто

там не так... т.к. там обрублен интернет, то ехе с базами я то скачал отдельно, но все попытки их проинсталлировать не проходили (что-то писало) и 5 сек - наверное с базами 00 . Было много перезагрузок, щас ткнул сабж и он начал сканировать уже точно с базами. 8 мин. найдено - 0.

бугага, ESET.Smart.Security.4 установить не удалось: вначале копирование пошло, но в конце, когда должны произойти записи в реестр - оно блокирует все записи и по диалогу установщика можно дойти только до cancel

вообще сейчас такая большая непонятка с РЕЕСТРОМ: в районе записей про драйвера sys (в т.ч. и принадлежащих антивирусным программам) - удаление веток, либо значений реестра - НЕ удается выполнить , в других местах реестра - всё удаляется

ну так задай для своего юзера полные права в реестре и пробуй снова

Sergyg, а ты его обновлять пробовал? получается?

у меня та ОС, что заражена(?99,9%) - не имеет выхода в интернет, точнее дня 4 назад кака(99,9%) его обрубила, ADSL: "TCP/IP протокол сообщает об ошибке 1450: Недостаточно системных ресурсов для завершения операции".
т.е. я скачал его базу (5мб) и утилиту (10мб) и тыкал базу.ехе в оффлайне и она не хотела интегрироваться. А через 20 перезагрузок ОС решил вдруг ещё раз запустить программу (установленную) и выяснилось, что она сканировала уже по-настоящему и с базами. Да в конце проверки мелькали её сверочниые варианты TDSS (т.е. я видел, что в её базе имеется вариантов 6-8 этой каки) - в итоге же она сказала - ничего не найдено, поздравляем!

Я никогда не знал по Права для нужд реестра (но тыкать на кнопки умею, папку Windows из-под др. винды удаляю) - так вот я ПЫТАЛСЯ поставить нужные галки и попередавать права себе по полной программе --- При нажатии на очередной "Ок" - оно пишет пресловутое "Недостаточно системных ресурсов для завершения операции". Т.е. полный доступ (все галки) в списке профилей(или что оно, я ж неграмотный) имеется у Администратора, ну так у меня serg и есть администратор. В любом случае в норме - при таком раскладе всё должно работать.

Также нашел, что народ пользует RegASSASSIN.exe для удаления веток - запустил - она сказала, что не может удалить (Legacy_mama - вроде безобидное образование обнаруженное после ругания AVZ4 на mama.sys - какой-то странный недо(?)-драйвер, сделанный кем-то русскоязычным, который был легко удален (туча анвирей его игнорировала, а AVZ4 просто писал, что не от Майкрософт)

Также AVZ4 в своей работе, при выполнении скрипта, должен удалять разные записи в реестре. Так он не может ничего удалить, фактически, всё его работа парализована, а это основной инструмент на том же virusinfo.info

а ты поставь админу/системе запрет(именно запрет) на доступ/изменение/смену разрешений/владельца к тем левым файлам/реестру, оставь только твоей учетке
или вообще удали их из списка доступа. когда будешь задавать права обязательно убери галку "наследовать" и поставь применить к вложенным... и поставь себя владельцем обязательно

также утилита autoruns показывает весь набор авто загрузок
+она тоже проверяет подписи прог онлайн
также на том сайте юзай TCPView -посмотришь коннекты
и проверь файл host

а вообще зараженный винт на другом компе просканить бы

Дело в том, что любое изменение в диалоге Прав доступа в GUI regedit-a не может быть сохранено ни через Применить, ни через Ок (Недостаточно системных ресурсов для завершения операции)

Ни в самом верху интерфейса (общие настройки для регедита) ни локально через Правую-кн-мыши для выбранной ветки реестра.

Бесправное я существо на своем компьютере

Думаю, щас попробовать Восстановление виндовса (с повторным копированием его файлов с СД) начать делать.


Ы.. так ведь у мня 3 HDD (500+500+160), 8 разделов (так получилось ) и всего лишь 2 шт. ХРсп3 соот-но на 2-х разных разделах. Я ж необнократно делал самые разные проверки, напр., зайдя в новую чистую винду, сканировал все разделы или раздел только с больным ХР...

вспомнил метод от руткита который когдато постил, может сработает
запусти регедит
загони комп в hibernate, выключи питание, физически выйми шнур питания и нажми кнопку питания(для разряда кандеров), вставь питание, включи -попробуй изменить права

спящий -не путай
при его включении создастся файл в корне системного диска объемом=озу, вся оператива запишется в него при выкл., кроме руткита, по идее

да, погуглил, электропитание.щас попробую

А в БИОСЕ нужно переводить в ACPI или как там?

ы, тут , где я щас сижу - не получилось, 1минуту выставил , пождал, щас в биосе посмотру

http://fixaftervirus.com/download.html от этой попробуй прогони, иногда мне помогает (она не лечит, но после неё может сможешь пролечиться, в нет вылезти)

Cure It не пробовал? Она вроде при запуске может полностью заблокировать комп для зловредов.
И вот про этот антируткит http://www.kernelmode.info/ARKs/RkU3.8.388.590.rar на virusinfo больше всего разговоров.

конечно, не могу знать, что произошло, но что-то произошло:

перегрузился в биос, поискал там ACPI и перегрузился в больную ОС. (в автозагрузку давно уже повесил 4 антируткита, надеялся, что после ComboFix они смогут хотя б загрузиться (ведь 1 раз из 5 лечений ComboFix-ом 1 антируткит TDSSKiller смог загрузиться, хоть и ничего не нашел, а через 2-3мин. после, он уже не мог загрузиться))
Когда вижу - загрузились все ГУИ антируткитов, а некоторые уже и стартовали. Всё чисто, никого не нашли.
Быстро зашел в AVZ4 и активировал AVZPM и AVZGuarder

Жму Панел управления и Регедит - вам отказано в правах. Запускаю антивирусы в папке - то же. А также "диск не найден", это же написало и в ответ на попытку входа в интернет.

Захожу в управление доступом на диске С (системный), там (как и было) штук 5 уч записей - поставил недостающую галку Пользователю... Смог запускать проги...ЗАшел в панель упр. и Регедит.
Регедит открылся на той ветке, что оставил... не удаляется, захожу в Права доступа, там всего-навсего 2 уч записи: SYSTEM и Все. Добавил галку второму... удалилась неудаляемая веточка legasy_mama (не только она, все недавно (и давно) анинсталлированные антивирусы и др.записи рядом расположенные также не хотели 2ч. назад удаляться).
В интернет входит.
Да уж, не перегружался, пишу из "выздоровевшего" ХР.


Действия до последнего выхода из этой ОС были такие:
запускал для сбора информации (для помощи) AVZ4 /также делал сегодня раза 4 не меньше, вряд ли оно что могло дать/
Также в свежем ХР заходил через autoruns.exe /по ссылке A1ex01 / как бы в системную директорию "больного" ХР и пытался там удалять разные *.sys , точно знал, что многие из них были УЖЕ давно удалены (да и скроей всего это безвредные, просто со специфич. назв.) однако на все мои действия ответ программы был "не удается выполнить", так что вряд ли это хоть как-то сказалось. Вообще, кажется, она, будучи запущена из одного виндовса, входила в реестр другого ? Это, вроде, невозможно? В любом случае во вкладках "драйвера" и прочее она показывала давно не существующие файлы. Как я уже писал, их пути никак не получалось удалить из реестра "больного" ХР.

Заходил в Администрирование-Управление компьютером-пользователи -- удалил пару бесполезных (как я посчитал) пользователей, сейчас их 4, выглядят так:
-ASPNET -- побоялся удалять тогда, это видимо Микрософт его создало (ASP.NET Machine Account), или все же можно грохнуть? (и ещё вот вспомнил: снял галку со строчки Запретить смену пароля пользователем) делал просто, чтоб что-то изменить
-serq
-Aдминистратор
-Гость(отключен)

Всем спасибо за помощь и содействие ! ! !

хотя ещё нужно понаблюдать, я даже не выгрузился после первого успешного сеанса тут
мои скромные познания позволяют делать вывод, что что-то случилось с правами... Достоверно( ) могу лишь сказать, что дня 4 назад Malwarebytes' Anti-Malware нашел и написал, что удалил TDSS, но после перезагрузки ни интернета, и прочие (давно сидящие в папке с лечения месяц назад) антируткиты - не стартовали.
Ну и доблестный ComboFix - единственный, кто после каждого запуска писал: у вас TDL4, будьте спокойны, ща полечу И после перезагрузки (80% времени лечения идет после перезагрузки) писал, что удалил и так было раз 5

привязываешь на кнопку питания в настройках питания винды) и ждать не надо

UA_Lex пользую его уже много лет но в этот раз он ничем не помог. Касперский тулз месяца 2-3 назад (из невыжившего ХР) якобы удалил файл_причастный_к_Virus32.TDss , но это тогда не помогло

Єто ж АЦЦКИЙ АДЪ такое творить изкампом для ізгонянияъ нечістай нечісті! о_0