Неудаляемый BackDoor

При каждом старте компьютера всплывает предупреждение антивируса AVG о том что найдет вирус BackDoor. Такое сообщение всплывает только когда включен интернет. Вирус находится в папке Temp, если вирус не удалять из папки, а потом просканировать папку на вирусы то вирус не будет найден.

Уважаемый(ая) [B]Влад Ишин[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Сделано.

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 6
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Действие не было предпринято.
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Действие не было предпринято.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Действие не было предпринято.

Обнаруженные папки: 3
C:\Users\ъ\AppData\Roaming\dclogs (Stolen.Data) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.

Обнаруженные файлы: 29
C:\Users\ъ\Downloads\385-1194-739315 (1).ibf (Worm.Brontok) -> Действие не было предпринято.
C:\Users\ъ\Downloads\385-1194-739315.ibf (Worm.Brontok) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-06-3.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-11-1.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-13-3.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-14-4.dc (Stolen.Data) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\nasdfsfgdfsdfgkrasit.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\kroka.txt (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\_nekjg_jdkgsfkj.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.[/code]

BackDoor.Delf.DMT всё равно обнаруживается при старте компьютера, но с задержкой (до диагностики: спустя 3-5 секунд было предупреждение. После: примерно спустя минуту пуска системы вирус был обнаружен.)

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Вот лог.

Что сейчас с проблемой?

Всё равно всплывает предупреждение об нахождении вируса.

Попробуйте переустановить антивирус

Вирус так же обнаруживается другими антивирусами.

А если очистить папку темп он там опять появляется?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Давайте так попробуем:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
DeleteService('ALSysIO');
DeleteService('block_reader');
DeleteService('15C5D89840');
DeleteFile('c:\users\ъ\appdata\local\temp\5E9AF8CBE.sys','32');
DeleteFile('c:\users\ъ\appdata\local\temp\5EE2679D8.sys','32');
DeleteFile('c:\users\ъ\appdata\local\temp\15C5D89840.sys','32');
DeleteFile('C:\Users\BA9D~1\AppData\Local\Temp\ALSysIO.sys','32');
DeleteFile('C:\Users\BA9D~1\AppData\Local\Temp\block_reader.sys','32');
DeleteFile('c:\users\ъ\appdata\local\temp\A1E17E60-C4097AB0-F14BD5B0-AB89DD50\68c9jav8.exe','32');
DeleteFile('c:\users\ъ\appdata\local\temp\A1E17E60-C4097AB0-F14BD5B0-AB89DD50\vq67wo82.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

- Повторите логи [B]virusinfo_syscheck.zip[/B] и [B]hijackthis.log[/B].

Вирус по прежнему обнаруживается. Файлы в папке Temp создаются по мере запуска программ. Имя файл вируса каждый раз разное.

[quote="Влад Ишин;1061023"]Имя файл вируса каждый раз разное.[/quote]
Например?...

Буду сразу писать путь к файлу и именем.
C:\Users\ъ\AppData\Local\temp\tmpnfbtyq
C:\Users\ъ\AppData\Local\temp\tmprdgaqn

А эти файлы на которые он ругается действительно есть в этой папке?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Файлы в папке temp постоянно удаляются и создаются. Если выбрать не удалять вирус то файла всё равно не будет в папке.

Выполняйте...
[quote="Techno;1061086"]- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.[/quote]

- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Установил всё кроме патча для Office'а. Требует компонент ProPlusWW.msi