TDSS, кто-то вылечивал? Налаштування

[Sergyg]

У мну собственно второе пришествие TDSS в XP sp3 (обновляетсо).
../зы: у мну во все моменты времени 2 установленных ОС (одинаковых)/
Первое (пришествие) длилось с полгода и в итоге я(?) понавыпонял в AVZ4, что даже переустановка не прошла (40 мин. сидел на этапе "осталось 34 мин. Установка устройств"). Удалось установить в тот же раздел Полную установку (тот же инсталл. пакет CD).

Кроме того у на др. разделе была старая, мало посещаемая мною инсталляция ХР сп3 (там антируткиты стартовали и ничего не находили, т.е. всё Ок). В этой ОС я и жил последний месяц (или меньше). И вот п..ц пришел: Окно "Приветствие" висит мин. 3, антируткиты не стартуют, выход в интернет невозможен.

Вчера мне пытались помочь в "свободной поддержке" http://kaspersky-911.ru/?action=case_show_...s&case_id=67877
ничего не вышло.

Кто-либо боролся (успешно ) с вумными руткитами ?

//в 1-й ОС оно блокировало доступ на USB-flash, потом и на карту телефона, подмена url адресов и НЕПРОБИВАНИЕ клавиш (6 и 9 в блоке для правой руки) - тоже его рук дело//

[Sergyg]

я не в курсе, доступна ли вам ссылка моего лечения. Не думаю, что будет большим преступлением привести здесь переписку, ничего эдакого там нет. Буду заключать в квоты.

я

это видимо руткит TDSS.
история велика: он угробил 1 WinXPsp3, но на другом разделе диска жила другая (редко посещаемая мною) инсталляция той же ОС. В ней проблемы не было и антивирусы руткита не находили. После переустановки ОС взамен "умершей" перешел в ту, которая была №2. Но месяц спустя проблемы начались и здесь.
Итак, при давних сканированиях "это" именовали как TDSS.cf. КасперскийРемувалТуулс смог даже уничтожить 1 файл-носитель, которому подписывалось TDSS, однако это не облегчило участи.
В умершей ОС были симптомы: с полгода(!) при загрузке ОС экран "Приветствие" висел 4 минуты (я терпел), потом прекратился доступ к содержимому USB-card, потом и к телефонам по USB. Потом стал невозможен запуск антируткитов. И многие операции сопорводжались сообщением "Недостаточно системных ресурсов..." в т.ч. и для входа в интернет (ADSL).
Комп - Q6600,3Gb,Radeon3850,HDD: 500Gb+500Gb+160Gb(все - однопластинные, но файлов - много и полная проверка Куреитом или КасперскийРем.Туулз длится около 10часов (2млн.файлов/записей)).
-----------------
Сейчас: Окно "Приветствие" грузится пару минут, интернет не доступен: "TCP/IP протокол сообщает об ошибке 1450: Недостаточно системных ресурсов для завершения операции".

Malwarebytes' Anti-Malware - как бы нашел и удалил TDSS.
PMaxKiller.exe, Norman_TDSS_Cleaner.exe, Norman_Sinowal_Cleaner.exe, Norman_Malware_Cleaner.exe - не грузятся, ошибка драйвера.
TDSSKiller.exe пишет: - ошибка загрузки драйвера при 40% прогресса. т.е. не грузится.
Gmer ничего подозрительного не видит, как и AVZ4.

они

...Запустите исполняемый файл Kaspersky Virus Removal Tool...Запомните путь к файлу avptool_sysinfo.zip

я

При сканировании Virus Removal Tool нашел файл из списка подозрительных - Mama.sys (5kb) он легко удалился вручную (восстановление ОС всегда отключено), но в реестре есть ветка с содержимым Legacy_mama, которую не получается удалить вручную. Также не удается включить в AVZ4 -> AVZPM - ошибка 0000034 (руткит? не дает)

они

Выполнить скрипт в AVPTool (Выполнено)

я

Поведение компьютера никак не изменилось. Скрипт фактически не был выполнен. Ни через Virus Removal Tool (+перезагрузка), ни через ранее установленный AVZ4 (+перезагрузка). Вообще, при установках (с анинсталлами) Virus Removal Tool в течение последних пары дней - программа не устанавливается корректно: Вначале 3 раза мелькает сообщение, что для установки зайдите в Безопасный режим, но потом все файлы копируются и программа как бы работает. Но видимо, руткит её ограничивает.

они

Собрать карантин в AVPTool (Выполнено)

они

Скачайте слегка обновленную версию TDSSkiller отсюда - http://ifolder.ru/2********
Сделайте лог и прикрепите к сообщению

я

не дают запуститься TDSSkiller-у: как и раньше - ошибка загрузки драйвера при 40% прогресса. т.е. не грузится антируткит.

они

Сделайте лог ComboFix

они

Проблема решена?

я

нет, в интернет не входит, ОС грузится так же долго (2 мин.), остальное не проверял... т.к. сразу перезагрузился во вторую ОС, чтобы Вам отослать..

они

TDSSkiller запускается?

я

TDSSKiller - всё так же: ошибка загрузки драйвера при 40% прогресса Norman_TDSS_Cleaner.exe после запуска теперь не пишет "ошибка драйвера", а пишет "Unable to load nsak.sys. Error (0x000000002) в AVZ4 по-прежнему не запусакется AVZPM. Gmer по-прежнему не находит ничего красного. PMaxKiller.exe теперь пишет: по-прежнему main: LoadDriver(KLMD x8) error, а следующая строчка теперь - крякозяблы Malwarebytes' Anti-Malware 1.50.1.1100 как и последние сутки при Быстром_осмотре - Вредоносных программ не обнаружено. setup_9.0.0.722_26.04.2011_14-06.exe --верхние 3 галки=вкл.-- ничего не находит CureIt (13.04.2011) - автоматическая короткая проверка системного содержимого (10мин.) - ничего не видит в логе Virus Removal Tool в ../Temp появились pxtdipow.sys(я его удалял средствами Tool) и новый S47v8Fwy.sys

они

У меня плохая новость: автор TDSSkiller предполагает, что проблема с загрузкой не связана с действием вируса, а скорее системная проблема.

я

не такая уж и плохая. Данная ОС установлена на винчестере Хитачи САТА2 7200 160Гб 2007 года выпуска и его состояние резко ухудшается. Если проблема связана с этим - то не страшно.| Или речь о моей ОС (устанавливаются свежие обновления он-лайн). Я слегка ознакомился с теорией TDSS http://www.xakep.ru/magazine/xa/134/054/1.asp . Насколько могу предполагать - руткит все же у меня "хорошо сидит".| В этой ОС, которая самая свежая и ещё здоровая (тот же инст.пакет ХРсп3) все антируткиты стартуют (ничего не находят, что и не кажется подозрительным) Модули AVZPM и AVZGuard благополучно запускаются.| Т.е. лечение может быть очень сложным или невозможным удаленно?

они

Предписание 9: Завершение заявки