Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 10.10.2011, 18:31   #1 (ссылка)
Новичок
 
Регистрация: 10.10.2011
Сообщений: 3
Репутация: 0
Exclamation RC=3221225477 BackDoor.MaxPlus.24

Причина: запущенный кейген. В списке процессов появился файл процесс 1650282336:2679153309.exe. На машине стоял eset, который сразу выдал сбой и закрылся. Слетел outlook и офис, пропал доступ к многим приложениям. Скачал последнюю версию Касперского, который в ходе проверки ничего не нашел и после рестарта перестал запускаться. Далее скачал dr.web CurentIt, который при загрузке выдавал ошибку найден в памяти вирус RC=3221225477, далее закрывался. Загрузился в безопасном режиме и сделал проверку... в ходе которой dr.web нашел 4 зараженных файла, ( 1:BackDoor.MaxPlus.24 - С:\Windows\1650282336:2679153309.exe, 2:BackDoor.Siggen.37524 - С:\Windows\assambly\GAC_MSIL\Desktop.ini ... и ещё 2 файла, к сожалению не помню какой вирус и расположение...). После их нахождение было сделано: лечить, если лечение не помогает удалить... Далее перезагрузка, и все они остались живы и успешно продолжают работать... В утилите regedit сделал поиск по "1650282336", нашлось 2 совпадения в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\604f5d62 и HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\604f5d62. В обоих случаях стоит ImagePath со значением \systemroot\1650282336:2679153309.exe, Srart - REGWORD - 3, TYPE - REGWORD - 1. Загрузился снова в безопасном режиме, провел проверку dr.web CurentIt , удалил и почистил реестр, не помогло. Скачал AVZ, поставил на проверку, он отмечал этот процесс как опасный, и на этом все, пытался занести его в карантин, так же не помогло. Может я что-то не по феншую делаю?))

Архив с логами (rsit, hijackthis, AVZ) http://rghost.ru/25001951

Буду признателен за анализ логов и за совет как это все удалить
Artur13 вне форума  
Старый 10.10.2011, 18:40   #2 (ссылка)
Стажёр
 
Аватар для Шелкопряд
 
Регистрация: 25.03.2010
Сообщений: 2,207
Записей в блоге: 7
Репутация: 112
По умолчанию

Artur13, пробуйте ту же манипуляцию с AVZ под безопасным режимом
Шелкопряд вне форума  
Старый 10.10.2011, 19:26   #3 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

сделайте образ автозапуска системы в uVS

обновите утилиту uVS до версии 3.71

или отсюда, для тех кто дружит с Avast (или GData)

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум.
-----------
если не получится сделать в нормальном режиме, сделайте в безопасном режиме.

+ лог tdsskiller (без удаления вредоносных файлов, если будут обнаружены)
http://support.kaspersky.ru/faq/?qid=208639606
safety вне форума  
Старый 10.10.2011, 20:31   #4 (ссылка)
Новичок
 
Регистрация: 10.10.2011
Сообщений: 3
Репутация: 0
По умолчанию

Сделал образ автозапуска системы в uVS 3.71
Tdsskiller при проверке обнаружил несколько зараженных файлов, лог это как я понял отчет справа вверху - скопировал результат в tdsskiller.txt (все найденные файлы нажал пропустить)...

Log files - http://rghost.ru/25026711
Artur13 вне форума  
Старый 10.10.2011, 21:04   #5 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

в безопасном режиме
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\1650282336:2679153309.EXE
addsgn C12C27CA3D6A4C320BBEABE13498466DA588BCF6E1FA1F6885973AA9ACD7314CDC023B567E55625CDB81C49F1A1676FA42DFB47214DAF32C7D77ED2FE4067273 8 rmnet.vir

addsgn 79A85392D6824C06379CDBD1329FED71018603E3FDAA784D3DEB97DB65695D1E442248A70592EE46A08607594293898E7F203849A2A841C49B76A42F2FECCD8C 10 a variant of Win32/Sirefef.CH [NOD32]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\_UNINST_43892381.BAT
chklst
delvir
deltmp
delnfr
restart
перезагрузка,

новый образ uVS
+ новый лог tdsskiller

---------- Добавлено в 23:04 ---------- Предыдущее сообщение было написано в 22:42 ----------

по логу tdsskiller

Цитата:
18:17:19.0875 3856 Tcpip ( UnsignedFile.Multi.Generic ) - skipped by user
18:17:19.0875 3856 Tcpip ( UnsignedFile.Multi.Generic ) - User select action: Skip
18:17:19.0890 3856 uzezmza0 ( UnsignedFile.Multi.Generic ) - skipped by user
18:17:19.0890 3856 uzezmza0 ( UnsignedFile.Multi.Generic ) - User select action: Skip
tcpip скорее всего чист (без цифровой подписи),
uzezmza0 - это драйвер от АВЗ, не имеет цифровой подписи,
это безопасные файлы,
по двум другим объектам посмотрим, будут ли они в логе tdsskiller после скрипта в uVS в безопаске.
safety вне форума  
Старый 10.10.2011, 22:30   #6 (ссылка)
Новичок
 
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
По умолчанию

Добрый вечер, господа! Я столкнулся с тем же вирусом, что и автор данной темы, однако в моем случае процесс и название .exe файла имеют иной набор случайных чисел, что, впрочем, не принципиально, как мне представляется. В связи с этим я посчитал лишним открывать для того же вируса еще одну тему и хотел бы задать Вам, Safety, следующий вопрос (да простит меня автор темы за то, что так беспардонно влезаю): могу ли я загубить гада на своем компьютере тем же скриптом, что приведен в Вашем посте чуть выше, предварительно самостоятельно поменяв имя файла в скрипте на то, которое имеет аналогичный файл на моем компьютере?

Спасибо за внимание и еще раз прошу меня простить за беспокойство.
Mittenz вне форума  
Старый 10.10.2011, 22:35   #7 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Mittenz Посмотреть сообщение
могу ли я загубить гада на своем компьютере тем же скриптом, что приведен в Вашем посте чуть выше, предварительно самостоятельно поменяв имя файла в скрипте на то, которое имеет аналогичный файл на моем компьютере?
нет, не можете. в вашем случае сигнатура из этого скрипта может не подойти.
тема Zaccess требует особой концентрации внимания, поэтому лучше открыть отдельную тему, чтобы мы могли вам помочь в лечении, или проконсультировать вас как самостоятельно справиться с этим вирусом.
safety вне форума  
Старый 11.10.2011, 14:09   #8 (ссылка)
Новичок
 
Регистрация: 10.10.2011
Сообщений: 3
Репутация: 0
По умолчанию

Благодарю за скрипт, после перезагрузки 1650282336:2679153309.exe исчез из процессов и пропал из реестра.

Log files - http://rghost.ru/25119611

При запуске программ по их ярлыку, выдает ошибку "отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту", при запуске вручную "программа не запускается". Есть возможность вернуть им работоспособность?
Artur13 вне форума  
Ads
Старый 11.10.2011, 14:49   #9 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

проверьте по списку эти файлы: (к которым нет доступа, или повреждены), можно ли заменить поврежденные, переустановить windows Installer, переустановить ESET NOD32.
--------------
Цитата:
Проверка цифровых подписей...
(!) Нет подписи у известного файла: C:\WINDOWS\EXPLORER.EXE
(!) Поврежден файл: C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CTFMON.EXE
(!) Поврежден файл: C:\PROGRAM FILES\TOTAL COMMANDER\TOTALCMD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MMC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\REGEDIT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\WSCRIPT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\LOGONUI.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\NTSD.EXE
(!) Поврежден файл: C:\WINDOWS\SYSTEM32\BASECSP.DLL
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\DRIVERS\TCPIP.SYS
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CLIPSRV.EXE
Ошибка доступа к файлу: C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSDTC.EXE
Ошибка доступа к файлу: C:\WINDOWS\SYSTEM32\MSIEXEC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CMD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\TASKMGR.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
Ошибка доступа к файлу: C:\PROGRAM FILES\JETBRAINS\INTELLIJ IDEA 10.0.2\BIN\IDEA.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSPAINT.EXE
Ошибка доступа к файлу: D:\ООМ\JPROFILER_WINDOWS_7_0.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CALC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\RESTORE\RSTRUI.EXE
--------------------------------------------------------
safety вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
У меня вирус RC=3221225477, прошу помощи. DimAL Безопасность 28 27.11.2011 21:44
И снова RC=3221225477 Spirit2006 Безопасность 16 05.09.2011 19:55
Опять проблемма с вирусом RC=3221225477 Delok_ks Безопасность 18 18.07.2011 15:09
вирус rc=3221225477 krasnyrayon Безопасность 14 15.07.2011 21:36
Вирус RC=3221225477 solyarix Безопасность 1 03.07.2011 16:09
как удалить вирус Backdoor.Win 32.Ruskill.bz svan Безопасность 1 10.06.2011 11:37
Просьба помощи проверить Log по причине RC=3221225477 Kuzma Безопасность 19 21.03.2011 03:05
Обнаружен вирус (rc=3221225477) Det Безопасность 10 08.03.2011 20:29
Определен: BackDoor-AWQ (Trojan), BackDoor-AWQ (троянский конь) ElenaS Безопасность 1 07.06.2010 22:36
Вирус RC=3221225477 Vetochka Безопасность 18 01.05.2010 14:21
BackDoor. Relic Программирование 0 07.11.2008 13:21


Текущее время: 21:28. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.