Неубиваемый троян BackDoor.Maxplus.24 (Win32/Rootkit.Agent.NUS по версии ESET)

Здравствуйте.
Система XP SP3.
Антивирус ESET Smart Security 4 при загрузке выводит сообщение "Некоторые файлы, предназначенные для очистки, заблокированы или используются другим приложением. Для применения эффекта очистки требуется перезагрузка." В области тконки в трее выводится "C:\windows\assembly\GAS_MSIL\desktop.ini модифицированный win32/sirefef.EF очищен удалением после следующего перезапуска".Эти сообщения повторяются и после перезагрузки.
При лечении DrWeb Cureit'ом в защищенном режиме сообщается о наличии трояна BackDoor.Maxplus.24: "C:\Windows\system32\drivers\mrxsmb.sys инфицирован BackDoor.Maxplus.24" (Файл с расширением sys может быть и другим, например, afd.sys). После лечения полная проверка Cureit'ом в безопасном режиме не находит никаких вирусов.
После перезагрузки в обычном режиме ESET Smart Security 4 сообщает, что "Обнаружена угроза в памяти Объект: Оперативная память services.exe Модифицированный Win32/Rootkit.Agent.NUS Очистка невозможна"
После перезагрузок TDSSKiller сообщает, что "Обнаружены вредоносные объекты Virus.Win32.ZAccess.c Сервис:Serial (было и redbook) Вредоносный объект, высокая опасность." Cureit в обычном режиме "Процесс в памяти C:\Windows\system32\services.exe:1000 (числа могут быть 996, 1044 и др) BackDoor.Maxplus.24 обезврежен"

И так до бесконечности. После подключения к Интернету все начинается сначала: "Некоторые файлы..."
Помогите, пожалуйста. Выгрузить ESET не удается, я останавливал проверку файлов и резидентную защиту.

Спасибо.

Уважаемый(ая) [B]AstroMan[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Wtcls2k.dll','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\b772c0e9\X','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\mrxsmb.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\afd.sys','');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\b772c0e9\X');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог TDSSkiller

Здравствуйте.
Новые логи высылаю. Карантин тоже. Теперь еще добавилась проблема с выходом в Интернет :(
ESET пишет, что "Ошибка при запуске прокси-сервера. Проверка протоколов уровня приложений (POP3, HTTP) невозможна"
При этом ни в IE, ни в FireFoxe не установлен режим работы через прокси и компьютер виден с другого, с которым он образует домашнюю сеть и который в Интернет выходит

Спасибо за внимание

После лога TDSSKiller компьютер перезагружали? Если нет, то перезагрузите.

Переделайте, пожалуйста, логи АВЗ.

[QUOTE=Techno;873612]После лога TDSSKiller компьютер перезагружали? Если нет, то перезагрузите.

Переделайте, пожалуйста, логи АВЗ.[/QUOTE]

TDSSKiller в прошлый раз я запускал в последнюю очередь.

Переделал логи и его, и АВЗ. Перед каждым перезагружал компьютер и отключал резидентную "защиту от вирусов и шпионских программ" (по словам ESETа).

Вот только к Интернету, как я писал выше, компьютер не подключается, к сожалению.

После работы TDSSKiller вывел на экран сообщение, которое тоже прилагаю.


Спасибо

С уважением.

Заархивируйте карантин tdsskiller с паролем virus и пришлите по красной ссылке вверху темы.
Скопируйте файл C:\WINDOWS\system32\DRIVERS\redbook.sys с аналогичной чистой системы (на флэшку например), загрузитесь с livecd любого и замените этот файл на чистый. Затем повторите лог tdsskiller.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Здравствуйте.
Карантин ТДССКиллера отправил полностью. Заменил с помощью LiveCD файл redbook.sys на взятый с другого компьютера. После этого трижды запускал ТДССКиллер, получил три новых сообщения, три новых карантина. С Вашего позволения высылаю их также с паролем virus. Сообщения и новые логи также прилагаю.

Лог ComboFix прилагаю тоже. Архив без пароля.

c:\windows\system32\drivers\afd.sys восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url] или скопируйте с аналогичной системы

Содержимое папок
[CODE]c:\documents and settings\All Users\Application Data\1C
c:\documents and settings\User\spkpod [/CODE]восстановите [URL="http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765"]так[/URL]

Что с проблемой?

Похоже, ComboFix убил-таки заразу. Ни Cureit в обычном режиме, ни ESET, ни TDSSKiller не говорят о наличии чего-то непотребного. Но осталась проблема с пресловутым прокси, о которой я говорил выше. И интернет не работает тоже :( . Содержимое файла hosts нормальное. Не подскажете ли чего-нибудь?

Спасибо.

Папку 1С еще не смотрел. Папка c:\documents and settings\User\spkpod, так же, как и incoming там же, думаю, какая-то левая папка, которой и не должно быть.

afd.sys восстановили? Это файл отвечает за доступ в Интернет в том числе. Если не помогло, то нужно восстанавливать и записи в реестре в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd

Здравствуйте, уважаемый [b]thyrex[/b].
Спасибо большое за помощь. На больном компьютере, действительно, не было файла afd.sys. Скопировал его с чистого. После этого ESET перестал выводить сообщение о невозможности подключения к прокси. Но Интернет так и не работает. Указанную Вами ветку также взял с рабочего компьютера. На мой взгляд разница в них несущественна. С Вашего позволения прикрепляю оба экземпляра ветки. AFD_Bad с больной машины, AFD_Good с рабочей. оба компьютера подключены к одному ADSL модему. С больного пингуются DNS серверы провайдера. И, как сейчас оказалось, пингуются сайты по IP адресу, а по "человеческому" нет. К примеру, ping mail.ru дает "...не удалось обнаружить узел mail.ru...", а ping 94.100.191.203 дает такие же примерно времена, как и второй компьютер. Что-то сломалось с, так сказать, DNS'ом компьютера?

Заранее спасибо за ответ. Верю в Ваше могущество.

Сейчас проверил - и сайты тоже открываются при вводе в адресной строке браузера IP адреса. Наверное, не все так смертельно?

Спасибо

У Вас были заражены еще два файла, связанные с работой сети и Интернета
[CODE]c:\windows\system32\drivers\netbt.sys
c:\windows\system32\drivers\ipsec.sys[/CODE]Попробуйте заменить и их ветки в реестре

[QUOTE=thyrex;874341]У Вас были заражены еще два файла, связанные с работой сети и Интернета
[CODE]c:\windows\system32\drivers\netbt.sys
c:\windows\system32\drivers\ipsec.sys[/CODE]Попробуйте заменить и их ветки в реестре[/QUOTE]

К сожалению, не прокатило.
Замена веток взятыми с нормального компьютера привела к тому, что ESET сообщил о неправильной своей работе вследствие ошибочных настроек. На рабочем компе установлен Avira Free.
Если верить гуглу, такие проблемы у людей были. Но как их решили не смог найти. Надеюсь на Вас. Спасибо

В архиве ветки реестров больного и рабочего компьютеров

[QUOTE]F:\Гимназия БТ-1.exe /W
D:\Тасма 2011янв.exe /K
F:\Новая папка\СК АГРО-Ж 2011янв.exe /p
F:\новая.exe /Z
D:\Бухгалтерский баланс с 01.01.2009 по 31.12.2009.exe /K
D:\Бухгалтерский баланс с 01.01.2010 по 31.12.2010.exe /h[/QUOTE]Что это за файлы в автозапуске?

[QUOTE=thyrex;874387]Что это за файлы в автозапуске?[/QUOTE]

Здравствуйте.
Диска F в системе нет. Это, видимо, флэшка, которую включали хозяева. На D диске указанных файлов нет. Наверное, остатки от какой-нибудь заразы.

Спасибо

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wtcls2k.dll - [B]Rootkit.Win32.ZAccess.wh[/B] ( DrWEB: BackDoor.Maxplus.3864, BitDefender: Trojan.Sirefef.BP, NOD32: Win32/Sirefef.ER trojan, AVAST4: Win32:Sirefef-UH [Rtk] )[*] \\tdsskiller_quarantine_new\\05.03.2012_19.48.26\\rtkt0000\\svc0000\\tsk0000.dta - [B]Virus.Win32.ZAccess.c[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.22, NOD32: Win32/Sirefef.DA trojan, AVAST4: Win32:Sirefef-F [Drp] )[*] \\tdsskiller_quarantine\\04.03.2012_20.10.57\\rtkt0000\\svc0000\\tsk0000.dta - [B]Virus.Win32.ZAccess.c[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.22, NOD32: Win32/Sirefef.DA trojan, AVAST4: Win32:Sirefef-F [Drp] )[*] \\tdsskiller_quarantine\\04.03.2012_22.00.44\\rtkt0000\\svc0000\\tsk0000.dta - [B]Virus.Win32.ZAccess.c[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.22, NOD32: Win32/Sirefef.DA trojan, AVAST4: Win32:Sirefef-F [Drp] )[*] \\tdsskiller_quarantine\\26.02.2012_17.08.04\\rtkt0000\\svc0000\\tsk0000.dta - [B]Virus.Win32.ZAccess.g[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.56, AVAST4: Win32:Zeroot-B [Rtk] )[/LIST][/LIST]