TDSS, кто-то вылечивал? Налаштування

[Sergyg]

У мну собственно второе пришествие TDSS в XP sp3 (обновляетсо).
../зы: у мну во все моменты времени 2 установленных ОС (одинаковых)/
Первое (пришествие) длилось с полгода и в итоге я(?) понавыпонял в AVZ4, что даже переустановка не прошла (40 мин. сидел на этапе "осталось 34 мин. Установка устройств"). Удалось установить в тот же раздел Полную установку (тот же инсталл. пакет CD).

Кроме того у на др. разделе была старая, мало посещаемая мною инсталляция ХР сп3 (там антируткиты стартовали и ничего не находили, т.е. всё Ок). В этой ОС я и жил последний месяц (или меньше). И вот п..ц пришел: Окно "Приветствие" висит мин. 3, антируткиты не стартуют, выход в интернет невозможен.

Вчера мне пытались помочь в "свободной поддержке" http://kaspersky-911.ru/?action=case_show_...s&case_id=67877
ничего не вышло.

Кто-либо боролся (успешно ) с вумными руткитами ?

//в 1-й ОС оно блокировало доступ на USB-flash, потом и на карту телефона, подмена url адресов и НЕПРОБИВАНИЕ клавиш (6 и 9 в блоке для правой руки) - тоже его рук дело//

[UA_Lex]

Cure It не пробовал? Она вроде при запуске может полностью заблокировать комп для зловредов.
И вот про этот антируткит http://www.kernelmode.info/ARKs/RkU3.8.388.590.rar на virusinfo больше всего разговоров.

[Sergyg]

конечно, не могу знать, что произошло, но что-то произошло:

перегрузился в биос, поискал там ACPI и перегрузился в больную ОС. (в автозагрузку давно уже повесил 4 антируткита, надеялся, что после ComboFix они смогут хотя б загрузиться (ведь 1 раз из 5 лечений ComboFix-ом 1 антируткит TDSSKiller смог загрузиться, хоть и ничего не нашел, а через 2-3мин. после, он уже не мог загрузиться))
Когда вижу - загрузились все ГУИ антируткитов, а некоторые уже и стартовали. Всё чисто, никого не нашли.
Быстро зашел в AVZ4 и активировал AVZPM и AVZGuarder

Жму Панел управления и Регедит - вам отказано в правах. Запускаю антивирусы в папке - то же. А также "диск не найден", это же написало и в ответ на попытку входа в интернет.

Захожу в управление доступом на диске С (системный), там (как и было) штук 5 уч записей - поставил недостающую галку Пользователю... Смог запускать проги...ЗАшел в панель упр. и Регедит.
Регедит открылся на той ветке, что оставил... не удаляется, захожу в Права доступа, там всего-навсего 2 уч записи: SYSTEM и Все. Добавил галку второму... удалилась неудаляемая веточка legasy_mama (не только она, все недавно (и давно) анинсталлированные антивирусы и др.записи рядом расположенные также не хотели 2ч. назад удаляться).
В интернет входит.
Да уж, не перегружался, пишу из "выздоровевшего" ХР.


Действия до последнего выхода из этой ОС были такие:
запускал для сбора информации (для помощи) AVZ4 /также делал сегодня раза 4 не меньше, вряд ли оно что могло дать/
Также в свежем ХР заходил через autoruns.exe /по ссылке A1ex01 / как бы в системную директорию "больного" ХР и пытался там удалять разные *.sys , точно знал, что многие из них были УЖЕ давно удалены (да и скроей всего это безвредные, просто со специфич. назв.) однако на все мои действия ответ программы был "не удается выполнить", так что вряд ли это хоть как-то сказалось. Вообще, кажется, она, будучи запущена из одного виндовса, входила в реестр другого ? Это, вроде, невозможно? В любом случае во вкладках "драйвера" и прочее она показывала давно не существующие файлы. Как я уже писал, их пути никак не получалось удалить из реестра "больного" ХР.

Заходил в Администрирование-Управление компьютером-пользователи -- удалил пару бесполезных (как я посчитал) пользователей, сейчас их 4, выглядят так:
-ASPNET -- побоялся удалять тогда, это видимо Микрософт его создало (ASP.NET Machine Account), или все же можно грохнуть? (и ещё вот вспомнил: снял галку со строчки Запретить смену пароля пользователем) делал просто, чтоб что-то изменить
-serq
-Aдминистратор
-Гость(отключен)

Всем спасибо за помощь и содействие ! ! !

хотя ещё нужно понаблюдать, я даже не выгрузился после первого успешного сеанса тут
мои скромные познания позволяют делать вывод, что что-то случилось с правами... Достоверно( ) могу лишь сказать, что дня 4 назад Malwarebytes' Anti-Malware нашел и написал, что удалил TDSS, но после перезагрузки ни интернета, и прочие (давно сидящие в папке с лечения месяц назад) антируткиты - не стартовали.
Ну и доблестный ComboFix - единственный, кто после каждого запуска писал: у вас TDL4, будьте спокойны, ща полечу И после перезагрузки (80% времени лечения идет после перезагрузки) писал, что удалил и так было раз 5

[A1ex01]

ы, тут , где я щас сижу - не получилось, 1минуту выставил , пождал, щас в биосе посмотру

привязываешь на кнопку питания в настройках питания винды) и ждать не надо

[Sergyg]

Cure It не пробовал?

UA_Lex пользую его уже много лет но в этот раз он ничем не помог. Касперский тулз месяца 2-3 назад (из невыжившего ХР) якобы удалил файл_причастный_к_Virus32.TDss , но это тогда не помогло

[nikelong]

вспомнил метод от руткита который когдато постил, может сработает
запусти регедит
загони комп в hibernate, выключи питание, физически выйми шнур питания и нажми кнопку питания(для разряда кандеров), вставь питание, включи -попробуй изменить права

Єто ж АЦЦКИЙ АДЪ такое творить изкампом для ізгонянияъ нечістай нечісті! о_0