Показано с 1 по 7 из 7.

Не могу поймать вирус (заявка № 123498)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    20

    Не могу поймать вирус

    Добрый день!

    Есть сильное подозрение, что на компьютере имеется руткит или бэкдор, который не получается отловить и удалить.

    На компьютере установлен AVG Free Edition 2011 с автоматическим обновлением, брандмауер Windows включен, включен контроль учетных записей.
    Всё началось с того, что компьютер стал немного тормозить. Поначалу на это особого внимания не обратил. Через некоторое время появилось сообщение AVG что нужно обновиться до версии 2012. После подтверждения началась подготовка к обновлению, но после этого просто окно закрылось, антивирус не обновился. Я скачал установщик около 3 мб с сайта AVG который запустился, опять началась подготовка к установке и снова окно просто исчезло. То же самое произошло и с установочным файлом AVG 2012 (170 мб). Сам антивирус работает и обновляется, но угроз никаких не видит.

    При проверке CureIt нашёл несколько троянов и удалил их, при этом этом в памяти был обнаружен Backdoor.Tdss.565, о котором было написано, что он "успешно удалён". Сразу же после этой проверки уже AVG стал ругаться на то, что были запущены какие-то приложения из AppData/Local/Temp файлом в памяти 5e084_xp.exe, которого в диспетчере задач я не вижу. После повторной проверки CureIt он снова нашёл в памяти Backdoor.Tdss.565 и опять написал, что он успешно обезврежен, AVG после проверки ругался на servies.exe, svchost.exe, explorer.exe, и опять это было связано с файлом в памяти 5e084_xp.exe. AVG писал, что это критичные файлы, и он с ними ничего не может сделать.
    Я загрузил TDSSkiller от Касперского, но он ничего не нашёл. Я пробовал ещё несколько других утилит против TDSS, но ни одна ничего не нашла.
    Выполнил проверку MBAM, который нашёл несколько угроз и ключей в реестре, которые он же и удалил потом. После этого я загрузился с Kaspersky Rescue Disc 10, с полной проверкой компьютера. Часа через 4 он нашёл ещё несколько угроз, которые тоже ликвидировал.
    Теперь компьютер почти не тормозит, CureIt не находит в памяти Backdoor.Tdss.565, однако при проверке памяти видно, что там всё ещё есть файл 5e084_xp.exe. AVG теперь не ругается, но по прежнему не могу заставить его обновиться до 2012.
    При проверке AVG на руткиты он ничего не обнаруживает, однако если убить в диспетчере задач все процессы svchost.exe, он находит какие-то хуки в файле System32/DRIVERS/HIDCLASS.sys, пишет, что это критичный файл и он ничего не может сделать, и сразу после этого компьютер сам перегружается.
    Проанализировал компьютер программами Gmer, Hijackthis и AVZ. Лично я ничего особенного там не увидел, но заметил что Gmer ругается на файл \System32\Drivers\agevme5o.SYS, которого в TotalCommander с отображением скрытых файлов я не вижу.
    И вообще меня беспокоит эта дериктория, которая не исчезла носле проверки Касперского, и на которую потом снова ругался, кажется, CureIt - C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/ с файлами вида 00000008.@, 000000cb.@ и т. д.
    Что делать дальше - я не знаю. Подскажите, друзья!
    Логи прилагаю.
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    gmer.log
    kaspersky-log.txt

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,452
    Вес репутации
    341
    Уважаемый(ая) cyclone125, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,177
    Вес репутации
    3015
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    20
    Готово:

    ComboFix.txt

    Когда запустил его первый раз - он прошел все стадии проверки, потом удалил несколько файлов, после чего начал удалять папку плагина и завис. Я ждал около 20 мин, потом убил процесс в диспетчере задач и перегрузился, и запустил второй раз. Второй раз всё прошло нормально.

    Ещё одно - в брандмауере Windows не используются рекомендуемые параметры, и я не могу их никак изменить на рекомендуемые - пишет "не удалось изменить некоторые параметры, код ошибки 0x80070424".

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,177
    Вес репутации
    3015
    Цитата Сообщение от cyclone125 Посмотреть сообщение
    C:/Users/user/AppData/Local/{3cebba0f-8995-d75e-549a-b80b3ad49192}/U/
    Не вижу у Вас этой папки

    Обычно Комбофикс ее сносит за милую душу

    Цитата Сообщение от cyclone125 Посмотреть сообщение
    5e084_xp.exe
    Это кусок от CureIt

    Цитата Сообщение от cyclone125 Посмотреть сообщение
    System32\Drivers\agevme5o.SYS
    от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    20
    Цитата Сообщение от thyrex Посмотреть сообщение
    Не вижу у Вас этой папки

    Обычно Комбофикс ее сносит за милую душу
    Согласен, я сейчас тоже её не вижу. Но я точно помню, что какая-то программа снова находила эту папку как минимум с одним файлом уже после полной проверки Kaspersky Rescue Disc. Я уже так много проверок разными программами запускал, что уже сам немного запутался, что это было.


    Цитата Сообщение от thyrex Посмотреть сообщение
    Это кусок от CureIt
    Да? Ну, значит я зря беспокоился по этому поводу.

    Цитата Сообщение от thyrex Посмотреть сообщение
    от стандартного Atapi IDE от Microsoft. Файла на диске нет, имя меняется при каждой перезагрузке
    Ну что же, Вы меня успокоили.

    Но главная проблема-то осталась - ни автоматический апгрейд AVG, ни инсталляторы не работают (запускается извлечение архива, доходит до 100% после чего просто окно закрывается и ничего не происходит).
    Кроме того, не могу никак изменить настройки брандмауэра Windows - он просто отключен и не включается.

  8. #7
    Junior Member Репутация
    Регистрация
    14.08.2012
    Сообщений
    4
    Вес репутации
    20
    Проблему можно считать решенной, тему можно закрывать.
    Огромное спасибо за помощь.

  • Уважаемый(ая) cyclone125, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу поймать вирус
      От berz в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 13.04.2010, 11:05
    2. Не могу поймать вирус
      От banpa в разделе Помогите!
      Ответов: 39
      Последнее сообщение: 05.04.2010, 19:46
    3. Не могу поймать негодяя
      От qwerty_ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.05.2009, 14:34
    4. не могу поймать вирус! помогите!
      От miklru в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.01.2009, 03:22
    5. Не могу поймать вирус
      От t04ka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.07.2008, 16:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01054 seconds with 17 queries