Неудаляемый BackDoor

При каждом старте компьютера всплывает предупреждение антивируса AVG о том что найдет вирус BackDoor. Такое сообщение всплывает только когда включен интернет. Вирус находится в папке Temp, если вирус не удалять из папки, а потом просканировать папку на вирусы то вирус не будет найден.

Уважаемый(ая) [B]Влад Ишин[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Сделано.

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 6
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Действие не было предпринято.
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Действие не было предпринято.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Действие не было предпринято.

Обнаруженные папки: 3
C:\Users\ъ\AppData\Roaming\dclogs (Stolen.Data) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.

Обнаруженные файлы: 29
C:\Users\ъ\Downloads\385-1194-739315 (1).ibf (Worm.Brontok) -> Действие не было предпринято.
C:\Users\ъ\Downloads\385-1194-739315.ibf (Worm.Brontok) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-06-3.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-11-1.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-13-3.dc (Stolen.Data) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\dclogs\2013-08-14-4.dc (Stolen.Data) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\nasdfsfgdfsdfgkrasit.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\kroka.txt (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\LuaZ\PTka\_nekjg_jdkgsfkj.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Users\ъ\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.[/code]

BackDoor.Delf.DMT всё равно обнаруживается при старте компьютера, но с задержкой (до диагностики: спустя 3-5 секунд было предупреждение. После: примерно спустя минуту пуска системы вирус был обнаружен.)

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Вот лог.

Что сейчас с проблемой?

Всё равно всплывает предупреждение об нахождении вируса.

Попробуйте переустановить антивирус

Вирус так же обнаруживается другими антивирусами.

А если очистить папку темп он там опять появляется?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Давайте так попробуем:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
DeleteService('ALSysIO');
DeleteService('block_reader');
DeleteService('15C5D89840');
DeleteFile('c:\users\ъ\appdata\local\temp\5E9AF8CBE.sys','32');
DeleteFile('c:\users\ъ\appdata\local\temp\5EE2679D8.sys','32');
DeleteFile('c:\users\ъ\appdata\local\temp\15C5D89840.sys','32');
DeleteFile('C:\Users\BA9D~1\AppData\Local\Temp\ALSysIO.sys','32');
DeleteFile('C:\Users\BA9D~1\AppData\Local\Temp\block_reader.sys','32');
DeleteFile('c:\users\ъ\appdata\local\temp\A1E17E60-C4097AB0-F14BD5B0-AB89DD50\68c9jav8.exe','32');
DeleteFile('c:\users\ъ\appdata\local\temp\A1E17E60-C4097AB0-F14BD5B0-AB89DD50\vq67wo82.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

- Повторите логи [B]virusinfo_syscheck.zip[/B] и [B]hijackthis.log[/B].

Вирус по прежнему обнаруживается. Файлы в папке Temp создаются по мере запуска программ. Имя файл вируса каждый раз разное.

[quote="Влад Ишин;1061023"]Имя файл вируса каждый раз разное.[/quote]
Например?...

Буду сразу писать путь к файлу и именем.
C:\Users\ъ\AppData\Local\temp\tmpnfbtyq
C:\Users\ъ\AppData\Local\temp\tmprdgaqn

А эти файлы на которые он ругается действительно есть в этой папке?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Файлы в папке temp постоянно удаляются и создаются. Если выбрать не удалять вирус то файла всё равно не будет в папке.

Выполняйте...
[quote="Techno;1061086"]- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.[/quote]

- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Установил всё кроме патча для Office'а. Требует компонент ProPlusWW.msi

blat mail устанавливали?

Проблема осталась?

Что? Да, так же высвечивается предупреждение. Насколько я знаю антивирус реагирует на программу которая делает отстук для blackdoor'а. Если эту программу удалить то остука не будет. Эта программа должна быть в автозапуске что бы при старте системы "отстучать" владельцу вируса. Всё подозрительное я из автозапуска убрал. Что делать не знаю

Запакуйте файлы на которые ругается антивирус в архив и загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Файлы на которые ругается MBAM или сам антивирус? Файл на который ругается антивирус из папки temp самоудаляется, по крайне мере в папке я его не нашел

[quote="Влад Ишин;1061696"]Файл на который ругается антивирус из папки temp самоудаляется, по крайне мере в папке я его не нашел[/quote]
В карантине антивируса посмотрите...

Антивирус AVG. Карантин называется Хранилище вирусов. Там нет того на что он ругает (при старте системы). Эти файлы из папки temp там ни как не отмечены. Прислал архив из AVZ. Простите если сделал что то не так.

Скриншот сделайте как он ругается...

Специально их коллекционировал.

Совсем всё глухо?

Попробуйте [URL="http://support.microsoft.com/kb/929135/ru"]чистый запуск[/URL], найдет ли там?

Оставить в запуске только службы антивируса или убрать всё?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

В чистом запуске вирус не обнаруживается т.к антивирус не включается сразу после пуска системы

[quote="Влад Ишин;1062660"]т.к антивирус не включается сразу после пуска системы[/quote]
Сделайте чтобы включался...