10.10.2011, 18:31 | #1 (ссылка) |
Новичок
Регистрация: 10.10.2011
Сообщений: 3
Репутация: 0
|
RC=3221225477 BackDoor.MaxPlus.24
Причина: запущенный кейген. В списке процессов появился файл процесс 1650282336:2679153309.exe. На машине стоял eset, который сразу выдал сбой и закрылся. Слетел outlook и офис, пропал доступ к многим приложениям. Скачал последнюю версию Касперского, который в ходе проверки ничего не нашел и после рестарта перестал запускаться. Далее скачал dr.web CurentIt, который при загрузке выдавал ошибку найден в памяти вирус RC=3221225477, далее закрывался. Загрузился в безопасном режиме и сделал проверку... в ходе которой dr.web нашел 4 зараженных файла, ( 1:BackDoor.MaxPlus.24 - С:\Windows\1650282336:2679153309.exe, 2:BackDoor.Siggen.37524 - С:\Windows\assambly\GAC_MSIL\Desktop.ini ... и ещё 2 файла, к сожалению не помню какой вирус и расположение...). После их нахождение было сделано: лечить, если лечение не помогает удалить... Далее перезагрузка, и все они остались живы и успешно продолжают работать... В утилите regedit сделал поиск по "1650282336", нашлось 2 совпадения в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\604f5d62 и HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\604f5d62. В обоих случаях стоит ImagePath со значением \systemroot\1650282336:2679153309.exe, Srart - REGWORD - 3, TYPE - REGWORD - 1. Загрузился снова в безопасном режиме, провел проверку dr.web CurentIt , удалил и почистил реестр, не помогло. Скачал AVZ, поставил на проверку, он отмечал этот процесс как опасный, и на этом все, пытался занести его в карантин, так же не помогло. Может я что-то не по феншую делаю?))
Архив с логами (rsit, hijackthis, AVZ) http://rghost.ru/25001951 Буду признателен за анализ логов и за совет как это все удалить |
10.10.2011, 19:26 | #3 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
сделайте образ автозапуска системы в uVS
обновите утилиту uVS до версии 3.71 или отсюда, для тех кто дружит с Avast (или GData) Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум. ----------- если не получится сделать в нормальном режиме, сделайте в безопасном режиме. + лог tdsskiller (без удаления вредоносных файлов, если будут обнаружены) http://support.kaspersky.ru/faq/?qid=208639606 |
10.10.2011, 20:31 | #4 (ссылка) |
Новичок
Регистрация: 10.10.2011
Сообщений: 3
Репутация: 0
|
Сделал образ автозапуска системы в uVS 3.71
Tdsskiller при проверке обнаружил несколько зараженных файлов, лог это как я понял отчет справа вверху - скопировал результат в tdsskiller.txt (все найденные файлы нажал пропустить)... Log files - http://rghost.ru/25026711 |
10.10.2011, 21:04 | #5 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
в безопасном режиме
закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код:
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemRoot%\1650282336:2679153309.EXE addsgn C12C27CA3D6A4C320BBEABE13498466DA588BCF6E1FA1F6885973AA9ACD7314CDC023B567E55625CDB81C49F1A1676FA42DFB47214DAF32C7D77ED2FE4067273 8 rmnet.vir addsgn 79A85392D6824C06379CDBD1329FED71018603E3FDAA784D3DEB97DB65695D1E442248A70592EE46A08607594293898E7F203849A2A841C49B76A42F2FECCD8C 10 a variant of Win32/Sirefef.CH [NOD32] delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\_UNINST_43892381.BAT chklst delvir deltmp delnfr restart новый образ uVS + новый лог tdsskiller ---------- Добавлено в 23:04 ---------- Предыдущее сообщение было написано в 22:42 ---------- по логу tdsskiller Цитата:
uzezmza0 - это драйвер от АВЗ, не имеет цифровой подписи, это безопасные файлы, по двум другим объектам посмотрим, будут ли они в логе tdsskiller после скрипта в uVS в безопаске. |
|
10.10.2011, 22:30 | #6 (ссылка) |
Новичок
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
|
Добрый вечер, господа! Я столкнулся с тем же вирусом, что и автор данной темы, однако в моем случае процесс и название .exe файла имеют иной набор случайных чисел, что, впрочем, не принципиально, как мне представляется. В связи с этим я посчитал лишним открывать для того же вируса еще одну тему и хотел бы задать Вам, Safety, следующий вопрос (да простит меня автор темы за то, что так беспардонно влезаю): могу ли я загубить гада на своем компьютере тем же скриптом, что приведен в Вашем посте чуть выше, предварительно самостоятельно поменяв имя файла в скрипте на то, которое имеет аналогичный файл на моем компьютере?
Спасибо за внимание и еще раз прошу меня простить за беспокойство. |
10.10.2011, 22:35 | #7 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Цитата:
тема Zaccess требует особой концентрации внимания, поэтому лучше открыть отдельную тему, чтобы мы могли вам помочь в лечении, или проконсультировать вас как самостоятельно справиться с этим вирусом. |
|
11.10.2011, 14:09 | #8 (ссылка) |
Новичок
Регистрация: 10.10.2011
Сообщений: 3
Репутация: 0
|
Благодарю за скрипт, после перезагрузки 1650282336:2679153309.exe исчез из процессов и пропал из реестра.
Log files - http://rghost.ru/25119611 При запуске программ по их ярлыку, выдает ошибку "отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту", при запуске вручную "программа не запускается". Есть возможность вернуть им работоспособность? |
Ads | |
11.10.2011, 14:49 | #9 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
проверьте по списку эти файлы: (к которым нет доступа, или повреждены), можно ли заменить поврежденные, переустановить windows Installer, переустановить ESET NOD32.
-------------- Цитата:
|
|
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
У меня вирус RC=3221225477, прошу помощи. | DimAL | Безопасность | 28 | 27.11.2011 21:44 |
И снова RC=3221225477 | Spirit2006 | Безопасность | 16 | 05.09.2011 19:55 |
Опять проблемма с вирусом RC=3221225477 | Delok_ks | Безопасность | 18 | 18.07.2011 15:09 |
вирус rc=3221225477 | krasnyrayon | Безопасность | 14 | 15.07.2011 21:36 |
Вирус RC=3221225477 | solyarix | Безопасность | 1 | 03.07.2011 16:09 |
как удалить вирус Backdoor.Win 32.Ruskill.bz | svan | Безопасность | 1 | 10.06.2011 11:37 |
Просьба помощи проверить Log по причине RC=3221225477 | Kuzma | Безопасность | 19 | 21.03.2011 03:05 |
Обнаружен вирус (rc=3221225477) | Det | Безопасность | 10 | 08.03.2011 20:29 |
Определен: BackDoor-AWQ (Trojan), BackDoor-AWQ (троянский конь) | ElenaS | Безопасность | 1 | 07.06.2010 22:36 |
Вирус RC=3221225477 | Vetochka | Безопасность | 18 | 01.05.2010 14:21 |
BackDoor. | Relic | Программирование | 0 | 07.11.2008 13:21 |