-
Junior Member
- Вес репутации
- 43
Не могу поймать вирус
Добрый день!
Есть сильное подозрение, что на компьютере имеется руткит или бэкдор, который не получается отловить и удалить.
На компьютере установлен AVG Free Edition 2011 с автоматическим обновлением, брандмауер Windows включен, включен контроль учетных записей.
Всё началось с того, что компьютер стал немного тормозить. Поначалу на это особого внимания не обратил. Через некоторое время появилось сообщение AVG что нужно обновиться до версии 2012. После подтверждения началась подготовка к обновлению, но после этого просто окно закрылось, антивирус не обновился. Я скачал установщик около 3 мб с сайта AVG который запустился, опять началась подготовка к установке и снова окно просто исчезло. То же самое произошло и с установочным файлом AVG 2012 (170 мб). Сам антивирус работает и обновляется, но угроз никаких не видит.
При проверке CureIt нашёл несколько троянов и удалил их, при этом этом в памяти был обнаружен Backdoor.Tdss.565, о котором было написано, что он "успешно удалён". Сразу же после этой проверки уже AVG стал ругаться на то, что были запущены какие-то приложения из AppData/Local/Temp файлом в памяти 5e084_xp.exe, которого в диспетчере задач я не вижу. После повторной проверки CureIt он снова нашёл в памяти Backdoor.Tdss.565 и опять написал, что он успешно обезврежен, AVG после проверки ругался на servies.exe, svchost.exe, explorer.exe, и опять это было связано с файлом в памяти 5e084_xp.exe. AVG писал, что это критичные файлы, и он с ними ничего не может сделать.
Я загрузил TDSSkiller от Касперского, но он ничего не нашёл. Я пробовал ещё несколько других утилит против TDSS, но ни одна ничего не нашла.
Выполнил проверку MBAM, который нашёл несколько угроз и ключей в реестре, которые он же и удалил потом. После этого я загрузился с Kaspersky Rescue Disc 10, с полной проверкой компьютера. Часа через 4 он нашёл ещё несколько угроз, которые тоже ликвидировал.
Теперь компьютер почти не тормозит, CureIt не находит в памяти Backdoor.Tdss.565, однако при проверке памяти видно, что там всё ещё есть файл 5e084_xp.exe. AVG теперь не ругается, но по прежнему не могу заставить его обновиться до 2012.
При проверке AVG на руткиты он ничего не обнаруживает, однако если убить в диспетчере задач все процессы svchost.exe, он находит какие-то хуки в файле System32/DRIVERS/HIDCLASS.sys, пишет, что это критичный файл и он ничего не может сделать, и сразу после этого компьютер сам перегружается.
Проанализировал компьютер программами Gmer, Hijackthis и AVZ. Лично я ничего особенного там не увидел, но заметил что Gmer ругается на файл \System32\Drivers\agevme5o.SYS, которого в TotalCommander с отображением скрытых файлов я не вижу.
И вообще меня беспокоит эта дериктория, которая не исчезла носле проверки Касперского, и на которую потом снова ругался, кажется, CureIt - C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/ с файлами вида 00000008.@, 000000cb.@ и т. д.
Что делать дальше - я не знаю. Подскажите, друзья!
Логи прилагаю.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
gmer.log
kaspersky-log.txt
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) cyclone125, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Готово:
ComboFix.txt
Когда запустил его первый раз - он прошел все стадии проверки, потом удалил несколько файлов, после чего начал удалять папку плагина и завис. Я ждал около 20 мин, потом убил процесс в диспетчере задач и перегрузился, и запустил второй раз. Второй раз всё прошло нормально.
Ещё одно - в брандмауере Windows не используются рекомендуемые параметры, и я не могу их никак изменить на рекомендуемые - пишет "не удалось изменить некоторые параметры, код ошибки 0x80070424".
-
Сообщение от
cyclone125
C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/
Не вижу у Вас этой папки
Обычно Комбофикс ее сносит за милую душу
Сообщение от
cyclone125
5e084_xp.exe
Это кусок от CureIt
Сообщение от
cyclone125
System32\Drivers\agevme5o.SYS
от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
thyrex
Не вижу у Вас этой папки
Обычно Комбофикс ее сносит за милую душу
Согласен, я сейчас тоже её не вижу. Но я точно помню, что какая-то программа снова находила эту папку как минимум с одним файлом уже после полной проверки Kaspersky Rescue Disc. Я уже так много проверок разными программами запускал, что уже сам немного запутался, что это было.
Сообщение от
thyrex
Это кусок от CureIt
Да? Ну, значит я зря беспокоился по этому поводу.
Сообщение от
thyrex
от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке
Ну что же, Вы меня успокоили.
Но главная проблема-то осталась - ни автоматический апгрейд AVG, ни инсталляторы не работают (запускается извлечение архива, доходит до 100% после чего просто окно закрывается и ничего не происходит).
Кроме того, не могу никак изменить настройки брандмауэра Windows - он просто отключен и не включается.
-
Junior Member
- Вес репутации
- 43
Проблему можно считать решенной, тему можно закрывать.
Огромное спасибо за помощь.