TDSS, кто-то вылечивал? Налаштування

[Sergyg]

У мну собственно второе пришествие TDSS в XP sp3 (обновляетсо).
../зы: у мну во все моменты времени 2 установленных ОС (одинаковых)/
Первое (пришествие) длилось с полгода и в итоге я(?) понавыпонял в AVZ4, что даже переустановка не прошла (40 мин. сидел на этапе "осталось 34 мин. Установка устройств"). Удалось установить в тот же раздел Полную установку (тот же инсталл. пакет CD).

Кроме того у на др. разделе была старая, мало посещаемая мною инсталляция ХР сп3 (там антируткиты стартовали и ничего не находили, т.е. всё Ок). В этой ОС я и жил последний месяц (или меньше). И вот п..ц пришел: Окно "Приветствие" висит мин. 3, антируткиты не стартуют, выход в интернет невозможен.

Вчера мне пытались помочь в "свободной поддержке" http://kaspersky-911.ru/?action=case_show_...s&case_id=67877
ничего не вышло.

Кто-либо боролся (успешно ) с вумными руткитами ?

//в 1-й ОС оно блокировало доступ на USB-flash, потом и на карту телефона, подмена url адресов и НЕПРОБИВАНИЕ клавиш (6 и 9 в блоке для правой руки) - тоже его рук дело//

[UA_Lex]

Sergyg так важно именно вылечить? Наверно format c: будет самым эффективным средством

[A1ex01]

попробуй http://technet.microsoft.com/en-us/sysinternals/bb897445

[Sergyg]

по последней ссылке A1ex01 антируткит 2006 года, скачал, не запускаецца, блокируют его сразу ))
щас качну Eset , попробую без всякой надежды, просто статьи по разоблачениям руткитов пишут именно они ))
UA_Lex - начну уже копировать "хорошие(?)" файлы с винта 160гб на другие, готовясь к его лоу-формату. Главное лишнего не прихватить.
Ещё не знаю, озадачить ли комьюнити на http://virusinfo.info чтоб попробовали что-то сделать, а то ведь так вирусы впереди антивирусов (я уже давно так говорю знакомым, после безуспешной борьбы вирусом Beagle )
Но тут ещё хуже, выходит технологии руткита ушли слишком далеко, работает на уровне железа, обманывает всех. Имхо, отрежешь его кусочек где-то - и он самовосставовится и потом уже никаких следов вообще никто не видит. Афигеть...
Почти уверен, что на virusinfo не помогут, т.к. я использовал все ихние методы борьбы... они блокированы

[Death]

http://www.safer-networking.org/en/download/ пробовал?

[Sergyg]

пробовал, сорри, что не отписал - 5 сек проверки и... все чисто

там не так... т.к. там обрублен интернет, то ехе с базами я то скачал отдельно, но все попытки их проинсталлировать не проходили (что-то писало) и 5 сек - наверное с базами 00 . Было много перезагрузок, щас ткнул сабж и он начал сканировать уже точно с базами. 8 мин. найдено - 0.

Це повідомлення відредагував Sergyg: Apr 28 2011, 13:51

[Sergyg]

бугага, ESET.Smart.Security.4 установить не удалось: вначале копирование пошло, но в конце, когда должны произойти записи в реестр - оно блокирует все записи и по диалогу установщика можно дойти только до cancel

вообще сейчас такая большая непонятка с РЕЕСТРОМ: в районе записей про драйвера sys (в т.ч. и принадлежащих антивирусным программам) - удаление веток, либо значений реестра - НЕ удается выполнить , в других местах реестра - всё удаляется

Це повідомлення відредагував Sergyg: Apr 28 2011, 13:55

[A1ex01]

ну так задай для своего юзера полные права в реестре и пробуй снова

[Death]

Sergyg, а ты его обновлять пробовал? получается?

[Sergyg]

Sergyg, а ты его обновлять пробовал? получается?

у меня та ОС, что заражена(?99,9%) - не имеет выхода в интернет, точнее дня 4 назад кака(99,9%) его обрубила, ADSL: "TCP/IP протокол сообщает об ошибке 1450: Недостаточно системных ресурсов для завершения операции".
т.е. я скачал его базу (5мб) и утилиту (10мб) и тыкал базу.ехе в оффлайне и она не хотела интегрироваться. А через 20 перезагрузок ОС решил вдруг ещё раз запустить программу (установленную) и выяснилось, что она сканировала уже по-настоящему и с базами. Да в конце проверки мелькали её сверочниые варианты TDSS (т.е. я видел, что в её базе имеется вариантов 6-8 этой каки) - в итоге же она сказала - ничего не найдено, поздравляем!

Я никогда не знал по Права для нужд реестра (но тыкать на кнопки умею, папку Windows из-под др. винды удаляю) - так вот я ПЫТАЛСЯ поставить нужные галки и попередавать права себе по полной программе --- При нажатии на очередной "Ок" - оно пишет пресловутое "Недостаточно системных ресурсов для завершения операции". Т.е. полный доступ (все галки) в списке профилей(или что оно, я ж неграмотный) имеется у Администратора, ну так у меня serg и есть администратор. В любом случае в норме - при таком раскладе всё должно работать.

Также нашел, что народ пользует RegASSASSIN.exe для удаления веток - запустил - она сказала, что не может удалить (Legacy_mama - вроде безобидное образование обнаруженное после ругания AVZ4 на mama.sys - какой-то странный недо(?)-драйвер, сделанный кем-то русскоязычным, который был легко удален (туча анвирей его игнорировала, а AVZ4 просто писал, что не от Майкрософт)

Также AVZ4 в своей работе, при выполнении скрипта, должен удалять разные записи в реестре. Так он не может ничего удалить, фактически, всё его работа парализована, а это основной инструмент на том же virusinfo.info

[A1ex01]

а ты поставь админу/системе запрет(именно запрет) на доступ/изменение/смену разрешений/владельца к тем левым файлам/реестру, оставь только твоей учетке
или вообще удали их из списка доступа. когда будешь задавать права обязательно убери галку "наследовать" и поставь применить к вложенным... и поставь себя владельцем обязательно

также утилита autoruns показывает весь набор авто загрузок
+она тоже проверяет подписи прог онлайн
также на том сайте юзай TCPView -посмотришь коннекты
и проверь файл host

а вообще зараженный винт на другом компе просканить бы

[Sergyg]

Дело в том, что любое изменение в диалоге Прав доступа в GUI regedit-a не может быть сохранено ни через Применить, ни через Ок (Недостаточно системных ресурсов для завершения операции)

Ни в самом верху интерфейса (общие настройки для регедита) ни локально через Правую-кн-мыши для выбранной ветки реестра.

Бесправное я существо на своем компьютере

Думаю, щас попробовать Восстановление виндовса (с повторным копированием его файлов с СД) начать делать.

а вообще зараженный винт на другом компе просканить бы

Ы.. так ведь у мня 3 HDD (500+500+160), 8 разделов (так получилось ) и всего лишь 2 шт. ХРсп3 соот-но на 2-х разных разделах. Я ж необнократно делал самые разные проверки, напр., зайдя в новую чистую винду, сканировал все разделы или раздел только с больным ХР...

[A1ex01]

вспомнил метод от руткита который когдато постил, может сработает
запусти регедит
загони комп в hibernate, выключи питание, физически выйми шнур питания и нажми кнопку питания(для разряда кандеров), вставь питание, включи -попробуй изменить права

[A1ex01]

спящий -не путай
при его включении создастся файл в корне системного диска объемом=озу, вся оператива запишется в него при выкл., кроме руткита, по идее

[Sergyg]

да, погуглил, электропитание.щас попробую

А в БИОСЕ нужно переводить в ACPI или как там?

ы, тут , где я щас сижу - не получилось, 1минуту выставил , пождал, щас в биосе посмотру

[tyoma]

http://fixaftervirus.com/download.html от этой попробуй прогони, иногда мне помогает (она не лечит, но после неё может сможешь пролечиться, в нет вылезти)