Blocarea site-urilor producatorilor AV

De ce nu incercati
ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ATENTIE!!!
Cat timp ComboFix ruleaza, nu mai deschide alte aplicatii. De asemenea, conexiunea la internet iti va fi oprita, ceea ce este normal (va reveni automat cand Combofix termina).La sfarsit va aparea un log in Notepad.Antivirusul il va gasi pe CumboFix ca virus,dar el nu este virus,in general cam deregleaza scutul antiviruslui.Il va gasi sub forma de NirCmd.

scanez dar atata, nu fixeaza nimic...

partyman, on Jan 10 2009, 16:40, said:

La ComboFix nu ai ce sa fixezi...

crysty2k5, on Jan 10 2009, 16:50, said:

raspunsul era pentru rootkit si gmer...

Cypress, am gasit o metoda de dezinfectie. Am postat aici instructiunile: http://www.faravirus...irus-ce-sa-fac/

Daca nu poti accesa site-ul le atasez si aici:
1. Se descarca utilitarul de curatare de aici: http://rapidshare.co.../f-downadup.zip
2. Se extrage fisierul f-downadup.exe in C:\
3. Se apasa butonul Start (al Windows-ului), se selecteaza Run si in casuta care apare se scrie cmd si se apasa Enter.
4. In noua fereastra care apare se scrie urmatoarea comanda C:\f-downadup.exe –disinfect .

O s-o incerc azi si va spun daca a rezolvat ceva

Cypress, vezi ca am facut un update la aritcol intre timp. Daca nu merge prima metoda incearc-o pe a doua.

A doua metoda fiind windows update?...tool-ul de la f-secure n-a gasit nimic..

Nici Kaspersky n-a gasit nimic si nici dupa update nu deschide

Am ajuns sa ma infectez de tot incercand sa rezolv un acces blocat la citeva adrese obisnuite si sint in situatia de a posta in acest topic.

Am instalat Avira cu licenta de 90 de zile care a gasit aceste fisiere care nu sint vizibile din explorer (extrasul este din logul respectiv) cu mentiunea ca nu am reusit update la avira si am scanat cu lista de semnaturi de acum 3 zile:

Starting search for hidden objects.
c:\windows\system32\tdsscrrx.dll
    [INFO]      The file is not visible.
    [NOTE]      A backup was created as '49e624b2.qua'  ( QUARANTINE )
c:\windows\system32\tdssnbcb.dat
    [INFO]      The file is not visible.
    [NOTE]      A backup was created as '416d9db3.qua'  ( QUARANTINE )
c:\windows\system32\tdssnbcb.dll
    [INFO]      The file is not visible.
    [NOTE]      A backup was created as '49e624b3.qua'  ( QUARANTINE )
c:\windows\system32\tdsstmei.dll
    [INFO]      The file is not visible.
    [NOTE]      A backup was created as '41762cc4.qua'  ( QUARANTINE )
c:\windows\system32\drivers\tdssnbcb.sys
    [INFO]      The file is not visible.
    [NOTE]      A backup was created as '49e624b4.qua'  ( QUARANTINE )
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\modules
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\start
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\type
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\imagepath
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\group
    [INFO]      The registry entry is invisible.
'64466' objects were checked, '10' hidden objects were found.

Am dezinstalat avira si am sperat ca NOD32 o sa reuseasca sa pacaleasca problema, l-am instalat dar are aceeasi problema, nu se updateaza.
De asemenea nu pot accesa aproape niciun website de antivirusi. Curios SUPERAntiSpyware functioneaza bine, s-a updatat si la scanare nu semnaleaza nimic.
MBAM nu reusesc astazi sa-l reinstalez ca nu am acces la site, dar cred ca miine o sa vin cu ceva progrese.
Am Windows Vista Home Basic, update-ul merge.

Exista vreo explicatie si solutie pentru infectia postata?

Multumesc.

S-a updatat si NOD32, dar nu vede fisierele respective ca fiind dubioase. Am cauta pe net <TDSSserv> si l-am gasit ca fiind un troian cu grad high pe forumul Kaspersky, ma gindesc sa-l instalez si pe acela si sa incerc atunci devirusarea daca o merge.

Astept si pareri mai avizate, eu chiar sint amator.

mutual, on Jan 18 2009, 18:03, said:

off topic :acum cateva zile m-am pricopsit ( prostia mea ) cu un bozomete. dintr un torent

am incerat TOT ( de la bootatul de pe atl mediu ) pana la safe mod si combo..

saptat tone prin registrii si scos ' demana"

nu sunt chiar amator . am preferat sa nu reintalez dar dupa 8 ( da, opt ) ore de sapat mi am bagat picioarele

fate, au ajus tare buni astia de se baga atat de " adanc"

Data viitoare sa nu mai tragi de pe torrents !

crysty2k5, on Jan 18 2009, 19:35, said:

Nu este posibil ca prin RDS sa se transmita troieni din acestia atat timp cat nu pot curata temporar serverele (daca folosesc ceva Windows pe ele)?

Poate este o coincidenta, dar de 3 zile, intermitent, imi apare avertizare pt. placa de retea ref. limitare de conectivitate in retea.

Sa inteleg ca voi fi nevoit sa reinstalez Vista, dar la o reinstalare cu formatare o sa scap de troienii ascunsi?

mutual, on Jan 18 2009, 18:03, said:

Hai ca asta a fost tare  

Vrei sa te infectezi si mai rau ?  

Sa nu faci asa ceva.

Edited by crysty2k5, 18 January 2009 - 22:27.

Revin cu noutati poate interesante.

Am reinstalat Vista Home Basic dupa ce am formatat tot HD-ul cu un setup initial de XP ca sa fiu sigur ca se sterge tot de pe disk (idee de-a mea de amator). Am updatat Visat cu SP1 si toate driverele la zi. Am instalat Avira si MBAM. Si surpriza: pe legatura RDS (pe cablu direct cu username si parola) de acasa a refuzat sa-mi activeze Vista, sa-mi faca update la Avira si MBAM, sa acceseze aceleasi adrese de antivirus (precum si al meu preferat www.hotnews.ro), s-a repetat comportamentul de dinaintea infectarii cu TDSS.

Am rulat in safe mode ComboFix, nu a depistat nimic, dupa aceea niste programe recomandate pe acest forum tot in safe mod, rezultat 0 infectii.

Am luat aparatul la birou unde am un clicknet cu modem ADSL pe romtelecom si aici alta surpriza: s-a activat Vista, am updatat tot ce era de adus la zi si am rulat Avira, MBAM si nu au gasit nimic, functioneaza ireprosabil. Am ajuns in aceeasi la cineva cu internet RDS si am probat aparatul - din nou blocaj la toate cele stiute.

De la RDS mi s-a comunicat ca nu exista niciun blocaj de acces si mi-au sugerat sa fac downgrade la XP si zau ca l-as fi facut din nou, dar nu exista drivere XP pt. conexant audio si nu pot folosi aparatul cum trebuie. De la HP Romania mi s-a spus ca ar exista niste setari laborioase pt. Vista pe care sint dispusi sa mi le acorde prin telefon luni, daca nu rezolv problema cu RDS.

Se poate sa exista o configurare dedicata exclusiv accesului pt. un provider anume (RDS in cazul meu) si care sa deblocheze sistemul? Pana una alta problema mi se pare legata de RDS si Vista, par sa fie niste incompatibilitati la accesul internet.

Pai aici ai gresit: te-ai conectat la net si ai facut update la Windows inainte sa instalezi antivirus + firewall

1. Nu exista o solutie de configurare din network connections sau in alta parte care sa remedieze ordinea instalarii Vista?

2. Daca as renunta la un antivirus instalat anterior updatarii Windows Vista si as instala altul inseamna ca ar reapare problema? Adica la fiecare instalare de antivirus trebuie reinstalat Vista?

3. Pana la urma unde este localizata problema in Windows Vista, exista un altfel de protocol TCP/IP decat in cazul XP, sau ceva asemanator?

4. Ca eventuala solutie trebuie sa reiau instalarea Vista? Exista un tutorial sau subiect deschis pe tema asta pe forum pe care sa nu-l fi cautat/gasit cum trebuie?

Multumesc.