Показано с 1 по 18 из 18.

Неубиваемый троян BackDoor.Maxplus.24 (Win32/Rootkit.Agent.NUS по версии ESET) (заявка № 117473)

  1. #1
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22

    Неубиваемый троян BackDoor.Maxplus.24 (Win32/Rootkit.Agent.NUS по версии ESET)

    Здравствуйте.
    Система XP SP3.
    Антивирус ESET Smart Security 4 при загрузке выводит сообщение "Некоторые файлы, предназначенные для очистки, заблокированы или используются другим приложением. Для применения эффекта очистки требуется перезагрузка." В области тконки в трее выводится "C:\windows\assembly\GAS_MSIL\desktop.ini модифицированный win32/sirefef.EF очищен удалением после следующего перезапуска".Эти сообщения повторяются и после перезагрузки.
    При лечении DrWeb Cureit'ом в защищенном режиме сообщается о наличии трояна BackDoor.Maxplus.24: "C:\Windows\system32\drivers\mrxsmb.sys инфицирован BackDoor.Maxplus.24" (Файл с расширением sys может быть и другим, например, afd.sys). После лечения полная проверка Cureit'ом в безопасном режиме не находит никаких вирусов.
    После перезагрузки в обычном режиме ESET Smart Security 4 сообщает, что "Обнаружена угроза в памяти Объект: Оперативная память services.exe Модифицированный Win32/Rootkit.Agent.NUS Очистка невозможна"
    После перезагрузок TDSSKiller сообщает, что "Обнаружены вредоносные объекты Virus.Win32.ZAccess.c Сервис:Serial (было и redbook) Вредоносный объект, высокая опасность." Cureit в обычном режиме "Процесс в памяти C:\Windows\system32\services.exe:1000 (числа могут быть 996, 1044 и др) BackDoor.Maxplus.24 обезврежен"

    И так до бесконечности. После подключения к Интернету все начинается сначала: "Некоторые файлы..."
    Помогите, пожалуйста. Выгрузить ESET не удается, я останавливал проверку файлов и резидентную защиту.

    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) AstroMan, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,348
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Wtcls2k.dll','');
     QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\b772c0e9\X','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\mrxsmb.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\afd.sys','');
     DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\b772c0e9\X');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог TDSSkiller
    Последний раз редактировалось thyrex; 03.03.2012 в 22:14.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22
    Здравствуйте.
    Новые логи высылаю. Карантин тоже. Теперь еще добавилась проблема с выходом в Интернет
    ESET пишет, что "Ошибка при запуске прокси-сервера. Проверка протоколов уровня приложений (POP3, HTTP) невозможна"
    При этом ни в IE, ни в FireFoxe не установлен режим работы через прокси и компьютер виден с другого, с которым он образует домашнюю сеть и который в Интернет выходит

    Спасибо за внимание
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    После лога TDSSKiller компьютер перезагружали? Если нет, то перезагрузите.

    Переделайте, пожалуйста, логи АВЗ.

  7. #6
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22
    Цитата Сообщение от Techno Посмотреть сообщение
    После лога TDSSKiller компьютер перезагружали? Если нет, то перезагрузите.

    Переделайте, пожалуйста, логи АВЗ.
    TDSSKiller в прошлый раз я запускал в последнюю очередь.

    Переделал логи и его, и АВЗ. Перед каждым перезагружал компьютер и отключал резидентную "защиту от вирусов и шпионских программ" (по словам ESETа).

    Вот только к Интернету, как я писал выше, компьютер не подключается, к сожалению.

    После работы TDSSKiller вывел на экран сообщение, которое тоже прилагаю.


    Спасибо

    С уважением.
    Изображения Изображения
    Вложения Вложения

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Заархивируйте карантин tdsskiller с паролем virus и пришлите по красной ссылке вверху темы.
    Скопируйте файл C:\WINDOWS\system32\DRIVERS\redbook.sys с аналогичной чистой системы (на флэшку например), загрузитесь с livecd любого и замените этот файл на чистый. Затем повторите лог tdsskiller.
    Paula rhei.
    Поддержать проект можно тут

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,348
    Вес репутации
    3019
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22
    Здравствуйте.
    Карантин ТДССКиллера отправил полностью. Заменил с помощью LiveCD файл redbook.sys на взятый с другого компьютера. После этого трижды запускал ТДССКиллер, получил три новых сообщения, три новых карантина. С Вашего позволения высылаю их также с паролем virus. Сообщения и новые логи также прилагаю.

    Лог ComboFix прилагаю тоже. Архив без пароля.
    Изображения Изображения
    Вложения Вложения

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,348
    Вес репутации
    3019
    c:\windows\system32\drivers\afd.sys восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы

    Содержимое папок
    Код:
    c:\documents and settings\All Users\Application Data\1C
    c:\documents and settings\User\spkpod
    восстановите так

    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22
    Похоже, ComboFix убил-таки заразу. Ни Cureit в обычном режиме, ни ESET, ни TDSSKiller не говорят о наличии чего-то непотребного. Но осталась проблема с пресловутым прокси, о которой я говорил выше. И интернет не работает тоже . Содержимое файла hosts нормальное. Не подскажете ли чего-нибудь?

    Спасибо.

    Папку 1С еще не смотрел. Папка c:\documents and settings\User\spkpod, так же, как и incoming там же, думаю, какая-то левая папка, которой и не должно быть.
    Изображения Изображения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,348
    Вес репутации
    3019
    afd.sys восстановили? Это файл отвечает за доступ в Интернет в том числе. Если не помогло, то нужно восстанавливать и записи в реестре в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\afd
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #13
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22
    Здравствуйте, уважаемый thyrex.
    Спасибо большое за помощь. На больном компьютере, действительно, не было файла afd.sys. Скопировал его с чистого. После этого ESET перестал выводить сообщение о невозможности подключения к прокси. Но Интернет так и не работает. Указанную Вами ветку также взял с рабочего компьютера. На мой взгляд разница в них несущественна. С Вашего позволения прикрепляю оба экземпляра ветки. AFD_Bad с больной машины, AFD_Good с рабочей. оба компьютера подключены к одному ADSL модему. С больного пингуются DNS серверы провайдера. И, как сейчас оказалось, пингуются сайты по IP адресу, а по "человеческому" нет. К примеру, ping mail.ru дает "...не удалось обнаружить узел mail.ru...", а ping 94.100.191.203 дает такие же примерно времена, как и второй компьютер. Что-то сломалось с, так сказать, DNS'ом компьютера?

    Заранее спасибо за ответ. Верю в Ваше могущество.

    Сейчас проверил - и сайты тоже открываются при вводе в адресной строке браузера IP адреса. Наверное, не все так смертельно?

    Спасибо
    Вложения Вложения
    • Тип файла: zip AFD.zip (1.1 Кб, 2 просмотров)

  16. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,348
    Вес репутации
    3019
    У Вас были заражены еще два файла, связанные с работой сети и Интернета
    Код:
    c:\windows\system32\drivers\netbt.sys
    c:\windows\system32\drivers\ipsec.sys
    Попробуйте заменить и их ветки в реестре
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #15
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22
    Цитата Сообщение от thyrex Посмотреть сообщение
    У Вас были заражены еще два файла, связанные с работой сети и Интернета
    Код:
    c:\windows\system32\drivers\netbt.sys
    c:\windows\system32\drivers\ipsec.sys
    Попробуйте заменить и их ветки в реестре
    К сожалению, не прокатило.
    Замена веток взятыми с нормального компьютера привела к тому, что ESET сообщил о неправильной своей работе вследствие ошибочных настроек. На рабочем компе установлен Avira Free.
    Если верить гуглу, такие проблемы у людей были. Но как их решили не смог найти. Надеюсь на Вас. Спасибо

    В архиве ветки реестров больного и рабочего компьютеров
    Вложения Вложения

  18. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,348
    Вес репутации
    3019
    F:\Гимназия БТ-1.exe /W
    D:\Тасма 2011янв.exe /K
    F:\Новая папка\СК АГРО-Ж 2011янв.exe /p
    F:\новая.exe /Z
    D:\Бухгалтерский баланс с 01.01.2009 по 31.12.2009.exe /K
    D:\Бухгалтерский баланс с 01.01.2010 по 31.12.2010.exe /h
    Что это за файлы в автозапуске?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #17
    Junior Member Репутация
    Регистрация
    26.02.2012
    Сообщений
    9
    Вес репутации
    22
    Цитата Сообщение от thyrex Посмотреть сообщение
    Что это за файлы в автозапуске?
    Здравствуйте.
    Диска F в системе нет. Это, видимо, флэшка, которую включали хозяева. На D диске указанных файлов нет. Наверное, остатки от какой-нибудь заразы.

    Спасибо

  20. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wtcls2k.dll - Rootkit.Win32.ZAccess.wh ( DrWEB: BackDoor.Maxplus.3864, BitDefender: Trojan.Sirefef.BP, NOD32: Win32/Sirefef.ER trojan, AVAST4: Win32:Sirefef-UH [Rtk] )
      2. \\tdsskiller_quarantine_new\\05.03.2012_19.48.26\\ rtkt0000\\svc0000\\tsk0000.dta - Virus.Win32.ZAccess.c ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.22, NOD32: Win32/Sirefef.DA trojan, AVAST4: Win32:Sirefef-F [Drp] )
      3. \\tdsskiller_quarantine\\04.03.2012_20.10.57\\rtkt 0000\\svc0000\\tsk0000.dta - Virus.Win32.ZAccess.c ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.22, NOD32: Win32/Sirefef.DA trojan, AVAST4: Win32:Sirefef-F [Drp] )
      4. \\tdsskiller_quarantine\\04.03.2012_22.00.44\\rtkt 0000\\svc0000\\tsk0000.dta - Virus.Win32.ZAccess.c ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.22, NOD32: Win32/Sirefef.DA trojan, AVAST4: Win32:Sirefef-F [Drp] )
      5. \\tdsskiller_quarantine\\26.02.2012_17.08.04\\rtkt 0000\\svc0000\\tsk0000.dta - Virus.Win32.ZAccess.g ( DrWEB: BackDoor.Maxplus.24, BitDefender: Gen:Variant.Sirefef.56, AVAST4: Win32:Zeroot-B [Rtk] )


  • Уважаемый(ая) AstroMan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Protector.C и Win32/Rootkit.Agent.NKB (ESET)
      От Ariete в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.10.2009, 01:00
    2. Win32/Rootkit.Agent.NIJ троян
      От beka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.06.2009, 23:02
    3. Троян Backdoor.Win32.Agent.tdy
      От steak в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.03.2009, 11:36
    4. Ответов: 9
      Последнее сообщение: 09.03.2009, 00:30
    5. Неубиваемый Rootkit.Win32.Agent.p
      От Slovich в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.09.2006, 10:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00663 seconds with 17 queries