Не могу поймать вирус

Printable View

14.08.2012, 16:37
cyclone125

Вложений: 5

Не могу поймать вирус

Добрый день!

Есть сильное подозрение, что на компьютере имеется руткит или бэкдор, который не получается отловить и удалить.

На компьютере установлен AVG Free Edition 2011 с автоматическим обновлением, брандмауер Windows включен, включен контроль учетных записей.
Всё началось с того, что компьютер стал немного тормозить. Поначалу на это особого внимания не обратил. Через некоторое время появилось сообщение AVG что нужно обновиться до версии 2012. После подтверждения началась подготовка к обновлению, но после этого просто окно закрылось, антивирус не обновился. Я скачал установщик около 3 мб с сайта AVG который запустился, опять началась подготовка к установке и снова окно просто исчезло. То же самое произошло и с установочным файлом AVG 2012 (170 мб). Сам антивирус работает и обновляется, но угроз никаких не видит.

При проверке CureIt нашёл несколько троянов и удалил их, при этом этом в памяти был обнаружен Backdoor.Tdss.565, о котором было написано, что он "успешно удалён". Сразу же после этой проверки уже AVG стал ругаться на то, что были запущены какие-то приложения из AppData/Local/Temp файлом в памяти 5e084_xp.exe, которого в диспетчере задач я не вижу. После повторной проверки CureIt он снова нашёл в памяти Backdoor.Tdss.565 и опять написал, что он успешно обезврежен, AVG после проверки ругался на servies.exe, svchost.exe, explorer.exe, и опять это было связано с файлом в памяти 5e084_xp.exe. AVG писал, что это критичные файлы, и он с ними ничего не может сделать.
Я загрузил TDSSkiller от Касперского, но он ничего не нашёл. Я пробовал ещё несколько других утилит против TDSS, но ни одна ничего не нашла.
Выполнил проверку MBAM, который нашёл несколько угроз и ключей в реестре, которые он же и удалил потом. После этого я загрузился с Kaspersky Rescue Disc 10, с полной проверкой компьютера. Часа через 4 он нашёл ещё несколько угроз, которые тоже ликвидировал.
Теперь компьютер почти не тормозит, CureIt не находит в памяти Backdoor.Tdss.565, однако при проверке памяти видно, что там всё ещё есть файл 5e084_xp.exe. AVG теперь не ругается, но по прежнему не могу заставить его обновиться до 2012.
При проверке AVG на руткиты он ничего не обнаруживает, однако если убить в диспетчере задач все процессы svchost.exe, он находит какие-то хуки в файле System32/DRIVERS/HIDCLASS.sys, пишет, что это критичный файл и он ничего не может сделать, и сразу после этого компьютер сам перегружается.
Проанализировал компьютер программами Gmer, Hijackthis и AVZ. Лично я ничего особенного там не увидел, но заметил что Gmer ругается на файл \System32\Drivers\agevme5o.SYS, которого в TotalCommander с отображением скрытых файлов я не вижу.
И вообще меня беспокоит эта дериктория, которая не исчезла носле проверки Касперского, и на которую потом снова ругался, кажется, CureIt - C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/ с файлами вида 00000008.@, 000000cb.@ и т. д.
Что делать дальше - я не знаю. Подскажите, друзья!
Логи прилагаю.
[ATTACH]374017[/ATTACH]
[ATTACH]374018[/ATTACH]
[ATTACH]374019[/ATTACH]
[ATTACH]374020[/ATTACH]
[ATTACH]374021[/ATTACH]
14.08.2012, 16:40
Info_bot

Уважаемый(ая) [B]cyclone125[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.08.2012, 17:16
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
14.08.2012, 19:15
cyclone125

Вложений: 1

Готово:

[ATTACH=CONFIG]374031[/ATTACH]

Когда запустил его первый раз - он прошел все стадии проверки, потом удалил несколько файлов, после чего начал удалять папку плагина и завис. Я ждал около 20 мин, потом убил процесс в диспетчере задач и перегрузился, и запустил второй раз. Второй раз всё прошло нормально.

Ещё одно - в брандмауере Windows не используются рекомендуемые параметры, и я не могу их никак изменить на рекомендуемые - пишет "не удалось изменить некоторые параметры, код ошибки 0x80070424".
14.08.2012, 19:33
thyrex

[quote="cyclone125;917382"]C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/[/quote]
Не вижу у Вас этой папки

Обычно Комбофикс ее сносит за милую душу

[quote="cyclone125;917382"]5e084_xp.exe[/quote]Это кусок от CureIt

[quote="cyclone125;917382"]System32\Drivers\agevme5o.SYS[/quote]от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке
14.08.2012, 19:55
cyclone125

[QUOTE=thyrex;917437]Не вижу у Вас этой папки

Обычно Комбофикс ее сносит за милую душу[/QUOTE]

Согласен, я сейчас тоже её не вижу. Но я точно помню, что какая-то программа снова находила эту папку как минимум с одним файлом уже после полной проверки Kaspersky Rescue Disc. Я уже так много проверок разными программами запускал, что уже сам немного запутался, что это было.

[QUOTE=thyrex;917437]Это кусок от CureIt[/QUOTE]

Да? Ну, значит я зря беспокоился по этому поводу.

[QUOTE=thyrex;917437]от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке[/QUOTE]

Ну что же, Вы меня успокоили.

Но главная проблема-то осталась - ни автоматический апгрейд AVG, ни инсталляторы не работают (запускается извлечение архива, доходит до 100% после чего просто окно закрывается и ничего не происходит).
Кроме того, не могу никак изменить настройки брандмауэра Windows - он просто отключен и не включается.
15.08.2012, 22:43
cyclone125

Проблему можно считать решенной, тему можно закрывать.
Огромное спасибо за помощь.