Показано с 1 по 7 из 7.

Не могу поймать вирус (заявка № 123498)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    16

    Не могу поймать вирус

    Добрый день!

    Есть сильное подозрение, что на компьютере имеется руткит или бэкдор, который не получается отловить и удалить.

    На компьютере установлен AVG Free Edition 2011 с автоматическим обновлением, брандмауер Windows включен, включен контроль учетных записей.
    Всё началось с того, что компьютер стал немного тормозить. Поначалу на это особого внимания не обратил. Через некоторое время появилось сообщение AVG что нужно обновиться до версии 2012. После подтверждения началась подготовка к обновлению, но после этого просто окно закрылось, антивирус не обновился. Я скачал установщик около 3 мб с сайта AVG который запустился, опять началась подготовка к установке и снова окно просто исчезло. То же самое произошло и с установочным файлом AVG 2012 (170 мб). Сам антивирус работает и обновляется, но угроз никаких не видит.

    При проверке CureIt нашёл несколько троянов и удалил их, при этом этом в памяти был обнаружен Backdoor.Tdss.565, о котором было написано, что он "успешно удалён". Сразу же после этой проверки уже AVG стал ругаться на то, что были запущены какие-то приложения из AppData/Local/Temp файлом в памяти 5e084_xp.exe, которого в диспетчере задач я не вижу. После повторной проверки CureIt он снова нашёл в памяти Backdoor.Tdss.565 и опять написал, что он успешно обезврежен, AVG после проверки ругался на servies.exe, svchost.exe, explorer.exe, и опять это было связано с файлом в памяти 5e084_xp.exe. AVG писал, что это критичные файлы, и он с ними ничего не может сделать.
    Я загрузил TDSSkiller от Касперского, но он ничего не нашёл. Я пробовал ещё несколько других утилит против TDSS, но ни одна ничего не нашла.
    Выполнил проверку MBAM, который нашёл несколько угроз и ключей в реестре, которые он же и удалил потом. После этого я загрузился с Kaspersky Rescue Disc 10, с полной проверкой компьютера. Часа через 4 он нашёл ещё несколько угроз, которые тоже ликвидировал.
    Теперь компьютер почти не тормозит, CureIt не находит в памяти Backdoor.Tdss.565, однако при проверке памяти видно, что там всё ещё есть файл 5e084_xp.exe. AVG теперь не ругается, но по прежнему не могу заставить его обновиться до 2012.
    При проверке AVG на руткиты он ничего не обнаруживает, однако если убить в диспетчере задач все процессы svchost.exe, он находит какие-то хуки в файле System32/DRIVERS/HIDCLASS.sys, пишет, что это критичный файл и он ничего не может сделать, и сразу после этого компьютер сам перегружается.
    Проанализировал компьютер программами Gmer, Hijackthis и AVZ. Лично я ничего особенного там не увидел, но заметил что Gmer ругается на файл \System32\Drivers\agevme5o.SYS, которого в TotalCommander с отображением скрытых файлов я не вижу.
    И вообще меня беспокоит эта дериктория, которая не исчезла носле проверки Касперского, и на которую потом снова ругался, кажется, CureIt - C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/ с файлами вида 00000008.@, 000000cb.@ и т. д.
    Что делать дальше - я не знаю. Подскажите, друзья!
    Логи прилагаю.
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    gmer.log
    kaspersky-log.txt

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) cyclone125, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    16
    Готово:

    ComboFix.txt

    Когда запустил его первый раз - он прошел все стадии проверки, потом удалил несколько файлов, после чего начал удалять папку плагина и завис. Я ждал около 20 мин, потом убил процесс в диспетчере задач и перегрузился, и запустил второй раз. Второй раз всё прошло нормально.

    Ещё одно - в брандмауере Windows не используются рекомендуемые параметры, и я не могу их никак изменить на рекомендуемые - пишет "не удалось изменить некоторые параметры, код ошибки 0x80070424".

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Цитата Сообщение от cyclone125 Посмотреть сообщение
    C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/
    Не вижу у Вас этой папки

    Обычно Комбофикс ее сносит за милую душу

    Цитата Сообщение от cyclone125 Посмотреть сообщение
    5e084_xp.exe
    Это кусок от CureIt

    Цитата Сообщение от cyclone125 Посмотреть сообщение
    System32\Drivers\agevme5o.SYS
    от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    16
    Цитата Сообщение от thyrex Посмотреть сообщение
    Не вижу у Вас этой папки

    Обычно Комбофикс ее сносит за милую душу
    Согласен, я сейчас тоже её не вижу. Но я точно помню, что какая-то программа снова находила эту папку как минимум с одним файлом уже после полной проверки Kaspersky Rescue Disc. Я уже так много проверок разными программами запускал, что уже сам немного запутался, что это было.


    Цитата Сообщение от thyrex Посмотреть сообщение
    Это кусок от CureIt
    Да? Ну, значит я зря беспокоился по этому поводу.

    Цитата Сообщение от thyrex Посмотреть сообщение
    от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке
    Ну что же, Вы меня успокоили.

    Но главная проблема-то осталась - ни автоматический апгрейд AVG, ни инсталляторы не работают (запускается извлечение архива, доходит до 100% после чего просто окно закрывается и ничего не происходит).
    Кроме того, не могу никак изменить настройки брандмауэра Windows - он просто отключен и не включается.

  8. #7
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    16
    Проблему можно считать решенной, тему можно закрывать.
    Огромное спасибо за помощь.

  • Уважаемый(ая) cyclone125, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Не могу поймать вирус
      От berz в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 13.04.2010, 11:05
    2. Не могу поймать вирус
      От banpa в разделе Помогите!
      Ответов: 39
      Последнее сообщение: 05.04.2010, 19:46
    3. Не могу поймать негодяя
      От qwerty_ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.05.2009, 14:34
    4. не могу поймать вирус! помогите!
      От miklru в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.01.2009, 03:22
    5. Не могу поймать вирус
      От t04ka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.07.2008, 16:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00971 seconds with 21 queries