Неубиваемый троян BackDoor.Maxplus.24 (Win32/Rootkit.Agent.NUS по версии ESET)
Здравствуйте.
Система XP SP3.
Антивирус ESET Smart Security 4 при загрузке выводит сообщение "Некоторые файлы, предназначенные для очистки, заблокированы или используются другим приложением. Для применения эффекта очистки требуется перезагрузка." В области тконки в трее выводится "C:\windows\assembly\GAS_MSIL\desktop.ini модифицированный win32/sirefef.EF очищен удалением после следующего перезапуска".Эти сообщения повторяются и после перезагрузки.
При лечении DrWeb Cureit'ом в защищенном режиме сообщается о наличии трояна BackDoor.Maxplus.24: "C:\Windows\system32\drivers\mrxsmb.sys инфицирован BackDoor.Maxplus.24" (Файл с расширением sys может быть и другим, например, afd.sys). После лечения полная проверка Cureit'ом в безопасном режиме не находит никаких вирусов.
После перезагрузки в обычном режиме ESET Smart Security 4 сообщает, что "Обнаружена угроза в памяти Объект: Оперативная память services.exe Модифицированный Win32/Rootkit.Agent.NUS Очистка невозможна"
После перезагрузок TDSSKiller сообщает, что "Обнаружены вредоносные объекты Virus.Win32.ZAccess.c Сервис:Serial (было и redbook) Вредоносный объект, высокая опасность." Cureit в обычном режиме "Процесс в памяти C:\Windows\system32\services.exe:1000 (числа могут быть 996, 1044 и др) BackDoor.Maxplus.24 обезврежен"
И так до бесконечности. После подключения к Интернету все начинается сначала: "Некоторые файлы..."
Помогите, пожалуйста. Выгрузить ESET не удается, я останавливал проверку файлов и резидентную защиту.
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) AstroMan, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте.
Новые логи высылаю. Карантин тоже. Теперь еще добавилась проблема с выходом в Интернет
ESET пишет, что "Ошибка при запуске прокси-сервера. Проверка протоколов уровня приложений (POP3, HTTP) невозможна"
При этом ни в IE, ни в FireFoxe не установлен режим работы через прокси и компьютер виден с другого, с которым он образует домашнюю сеть и который в Интернет выходит
Заархивируйте карантин tdsskiller с паролем virus и пришлите по красной ссылке вверху темы.
Скопируйте файл C:\WINDOWS\system32\DRIVERS\redbook.sys с аналогичной чистой системы (на флэшку например), загрузитесь с livecd любого и замените этот файл на чистый. Затем повторите лог tdsskiller.
Здравствуйте.
Карантин ТДССКиллера отправил полностью. Заменил с помощью LiveCD файл redbook.sys на взятый с другого компьютера. После этого трижды запускал ТДССКиллер, получил три новых сообщения, три новых карантина. С Вашего позволения высылаю их также с паролем virus. Сообщения и новые логи также прилагаю.
Похоже, ComboFix убил-таки заразу. Ни Cureit в обычном режиме, ни ESET, ни TDSSKiller не говорят о наличии чего-то непотребного. Но осталась проблема с пресловутым прокси, о которой я говорил выше. И интернет не работает тоже . Содержимое файла hosts нормальное. Не подскажете ли чего-нибудь?
Спасибо.
Папку 1С еще не смотрел. Папка c:\documents and settings\User\spkpod, так же, как и incoming там же, думаю, какая-то левая папка, которой и не должно быть.
afd.sys восстановили? Это файл отвечает за доступ в Интернет в том числе. Если не помогло, то нужно восстанавливать и записи в реестре в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\afd
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Здравствуйте, уважаемый thyrex.
Спасибо большое за помощь. На больном компьютере, действительно, не было файла afd.sys. Скопировал его с чистого. После этого ESET перестал выводить сообщение о невозможности подключения к прокси. Но Интернет так и не работает. Указанную Вами ветку также взял с рабочего компьютера. На мой взгляд разница в них несущественна. С Вашего позволения прикрепляю оба экземпляра ветки. AFD_Bad с больной машины, AFD_Good с рабочей. оба компьютера подключены к одному ADSL модему. С больного пингуются DNS серверы провайдера. И, как сейчас оказалось, пингуются сайты по IP адресу, а по "человеческому" нет. К примеру, ping mail.ru дает "...не удалось обнаружить узел mail.ru...", а ping 94.100.191.203 дает такие же примерно времена, как и второй компьютер. Что-то сломалось с, так сказать, DNS'ом компьютера?
Заранее спасибо за ответ. Верю в Ваше могущество.
Сейчас проверил - и сайты тоже открываются при вводе в адресной строке браузера IP адреса. Наверное, не все так смертельно?
К сожалению, не прокатило.
Замена веток взятыми с нормального компьютера привела к тому, что ESET сообщил о неправильной своей работе вследствие ошибочных настроек. На рабочем компе установлен Avira Free.
Если верить гуглу, такие проблемы у людей были. Но как их решили не смог найти. Надеюсь на Вас. Спасибо
В архиве ветки реестров больного и рабочего компьютеров
Здравствуйте.
Диска F в системе нет. Это, видимо, флэшка, которую включали хозяева. На D диске указанных файлов нет. Наверное, остатки от какой-нибудь заразы.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: