Неудаляемый BackDoor

**Влад Ишин** · 12.11.2013, 18:05

При каждом старте компьютера всплывает предупреждение антивируса AVG о том что найдет вирус BackDoor. Такое сообщение всплывает только когда включен интернет. Вирус находится в папке Temp, если вирус не удалять из папки, а потом просканировать папку на вирусы то вирус не будет найден.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.11.2013, 18:06

Уважаемый(ая) Влад Ишин, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 12.11.2013, 22:31

Сделайте лог полного сканирования МВАМ

**Влад Ишин** · 13.11.2013, 18:17

Сделано.

**thyrex** · 13.11.2013, 20:16

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  6
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Действие не было предпринято.
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Действие не было предпринято.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Действие не было предпринято.

Обнаруженные папки:  3
C:\Users\ъ\AppData\Roaming\dclogs (Stolen.Data) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.

Обнаруженные файлы:  29
C:\Users\ъ\Downloads\385-1194-739315 (1).ibf (Worm.Brontok) -> Действие не было предпринято.
C:\Users\ъ\Downloads\385-1194-739315.ibf (Worm.Brontok) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-06-3.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-11-1.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-13-3.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-14-4.dc (Stolen.Data) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\nasdfsfgdfsdfgkrasit.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\kroka.txt (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\_nekjg_jdkgsfkj.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.

**Влад Ишин** · 13.11.2013, 20:55

BackDoor.Delf.DMT всё равно обнаруживается при старте компьютера, но с задержкой (до диагностики: спустя 3-5 секунд было предупреждение. После: примерно спустя минуту пуска системы вирус был обнаружен.)

**thyrex** · 13.11.2013, 21:05

Сделайте лог ComboFix

**Влад Ишин** · 13.11.2013, 22:09

Вот лог.

**thyrex** · 13.11.2013, 22:32

Что сейчас с проблемой?

**Влад Ишин** · 13.11.2013, 22:42

Всё равно всплывает предупреждение об нахождении вируса.

**thyrex** · 14.11.2013, 21:22

Попробуйте переустановить антивирус

**Влад Ишин** · 14.11.2013, 23:29

Вирус так же обнаруживается другими антивирусами.

**Techno** · 15.11.2013, 20:12

А если очистить папку темп он там опять появляется?

- - - Добавлено - - -

Давайте так попробуем:

- Выполните в АВЗ:

Код:

begin
 DeleteService('ALSysIO');
 DeleteService('block_reader');
 DeleteService('15C5D89840');
 DeleteFile('c:\users\ъ\appdata\local\temp\5E9AF8CBE.sys','32');
 DeleteFile('c:\users\ъ\appdata\local\temp\5EE2679D8.sys','32');
 DeleteFile('c:\users\ъ\appdata\local\temp\15C5D89840.sys','32');
 DeleteFile('C:\Users\BA9D~1\AppData\Local\Temp\ALSysIO.sys','32');
 DeleteFile('C:\Users\BA9D~1\AppData\Local\Temp\block_reader.sys','32');
 DeleteFile('c:\users\ъ\appdata\local\temp\A1E17E60-C4097AB0-F14BD5B0-AB89DD50\68c9jav8.exe','32');
 DeleteFile('c:\users\ъ\appdata\local\temp\A1E17E60-C4097AB0-F14BD5B0-AB89DD50\vq67wo82.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится

- Повторите логи virusinfo_syscheck.zip и hijackthis.log.

**Влад Ишин** · 16.11.2013, 18:48

Вирус по прежнему обнаруживается. Файлы в папке Temp создаются по мере запуска программ. Имя файл вируса каждый раз разное.

**Techno** · 16.11.2013, 19:52

Сообщение от Влад Ишин

Имя файл вируса каждый раз разное.

Например?...

**Влад Ишин** · 16.11.2013, 20:13

Буду сразу писать путь к файлу и именем.
C:\Users\ъ\AppData\Local\temp\tmpnfbtyq
C:\Users\ъ\AppData\Local\temp\tmprdgaqn

**Techno** · 16.11.2013, 20:18

А эти файлы на которые он ругается действительно есть в этой папке?

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

**Влад Ишин** · 16.11.2013, 20:29

Файлы в папке temp постоянно удаляются и создаются. Если выбрать не удалять вирус то файла всё равно не будет в папке.

**Techno** · 16.11.2013, 20:31

Выполняйте...

Сообщение от Techno

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

- Сделайте лог полного сканирования MBAM.