11.10.2011, 00:32 | #1 (ссылка) |
Новичок
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
|
Помогите убить BackDoor.MaxPlus.24
Доброго времени суток!
Набрел на сей чудеснейший форум во время поиска способа уничтожения указанного в названии темы вируса. Насколько я знаю, данная версия вируса достаточно нова и весьма сложноубиваема. Неудивительно, что ни Avira, ни ESET (вообще отказался работать на зараженном компьютере), ни Касперский (та же история, что и с ESET'ом), ни даже Cureit! в безопасном режиме не смогли убить проказника. Посему, полный отчаяния, я обращаюсь к Вам. Мне очень нужна помощь. Просмотрев тему, созданную пользователем, имеющим такую же проблему, что и я, решил сразу просканировать систему указанными Safety программами, так что вот архивчик с логами: http://rghost.ru/25077951 Благодарю за внимание и очень надеюсь на Вашу помощь! |
11.10.2011, 01:29 | #2 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Потому что сканить надо с диска, боротся с вирусом конечно можно и в реальной системе, но лучше всего скачать образ по ссылке записать на диск, загрузится с него и выполнить полное сканирование системы
http://ess.nichost.ru/eset_sysrescue.iso |
11.10.2011, 07:04 | #3 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
сложность в том, что здесь еще и заражается известный драйвер. В случае ZAccess, как и предупреждал Кузнецов Дмитрий, автор uVS, каждый раз это может быть случайно выбранный драйвер.
----- вариант с Live.CD от ESET Russia, который предлагает maksimog, должен помочь в лечении драйвера. два других варианта: 1. выполнить скрипт в uVS в безопасном режиме. Код:
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemRoot%\1710880027:3825862298.EXE addsgn C12C27CA3D6A4C320BBEABE13498466DA588BCF6E1FA1F6885973AA9ACD7314CDC023B567E55625CDB81C49F1A1676FA42DFB47214DAF32C7D77ED2FE4067273 8 rmnet.vir delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MSADO320.TLB delall %SystemRoot%\1710880027:3825862298.EXE bl 0FB635684340943E6E7F954AFFFD943E 75264 zoo %Sys32%\DRIVERS\DFSC.SYS chklst delvir deltmp delnfr restart 2. пролечить с помощью tdsskiller эти объекты 22:40:01.0280 1484 1bf5f965 ( HiddenFile.Multi.Generic ) - skipped by user 22:40:01.0280 1484 1bf5f965 ( HiddenFile.Multi.Generic ) - User select action: Skip 22:40:06.0724 1484 C:\Windows\system32\Drivers\dfsc.sys - will be cured on reboot 22:40:06.0724 1484 DfsC ( Rootkit.Win32.ZAccess.h ) - User select action: Cure -------- Вообщем, при любом из методов, который будете использовать, сделайте после лечения новые логи: образ автозапуска uVS и tdsskiller. |
11.10.2011, 23:38 | #4 (ссылка) |
Новичок
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
|
Спасибо, спасибо, спасибо вам огромное за помощь! Я в итоге воспользовался третьим вариантом, предложенным Safety, ибо не совсем понял механизм второго и у меня не было под рукой болванки для первого, предложенного Maksimog. Злосчастного BackDoor'а на компьютере больше нет, НО меня беспокоят драйверы m5287.sys и m5288.sys без цифровой подписи. Насколько я знаю, драйверы нужные, но мне также стало известно, что под них любят маскироваться вирусы, к тому же в моем случае оба файла не имеют подписи, что настораживает...
В любом случае, вот логи с вылеченного компьютера: http://rghost.ru/25211921 И еще раз спасибо за помощь! Вы меня таки спасли (: |
12.10.2011, 00:53 | #5 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! Код:
;uVS v3.71 script [http://dsrt.dyndns.org] delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1414441658-3192887378-1310926444-500\EMSWAPAP2.EXE delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MSADO320.TLB delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHECKUPDATES.EXE regt 1 regt 2 regt 3 regt 18 exec MSIEXEC.EXE /X{D03482C5-9AD8-496D-B388-692AE04C93AF} deltmp delnfr restart На запросы программы жмем ДА ПК перезагрузится Спасибо. |
12.10.2011, 07:28 | #6 (ссылка) | |||
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по драйверам m5287.sys, m5288.sys такая информация из образа автозапуска.
драйвера имеют статус - отключены. проверка по хэшам на ВТ - чистые (в том смысле, что нет по ним детекта антивирусов) ------ Цитата:
Цитата:
а вот третий драйвер m5289.sys имеет цифровую подпись. Цитата:
|
|||
12.10.2011, 22:45 | #7 (ссылка) |
Новичок
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
|
Спасибо за исчерпывающую информацию, проверил оба на ВТ, оказались чисты. Это радует. И, наконец, последний вопрос:
Maksimog, если сканировать систему с диска, то стоит настроить First Boot Device на DVD-привод или же запускать из Windows'а? Спасибо ^^ |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
RC=3221225477 BackDoor.MaxPlus.24 | Artur13 | Безопасность | 8 | 11.10.2011 14:49 |
помогите убить вирь | Anatolii_K | Безопасность | 13 | 31.08.2011 01:25 |
Smaxi.Net. Помогите убить гада | Kaisernicht | Безопасность | 5 | 03.08.2011 00:48 |
Помогите убить вирусятину ! | 6yu | Безопасность | 9 | 03.07.2011 17:50 |
Помогите убить вирус!!! | buyan666 | Безопасность | 0 | 18.06.2011 18:42 |
как удалить вирус Backdoor.Win 32.Ruskill.bz | svan | Безопасность | 1 | 10.06.2011 11:37 |
Помогите убить заразу, достала уже... | AlexBS | Безопасность | 14 | 13.04.2011 07:10 |
Определен: BackDoor-AWQ (Trojan), BackDoor-AWQ (троянский конь) | ElenaS | Безопасность | 1 | 07.06.2010 22:36 |
Помогите убить вирус)) | Nusmumrik | Windows XP | 8 | 17.03.2010 00:16 |
помогите убить вирус | rt752k | Безопасность | 27 | 18.04.2009 23:01 |
BackDoor. | Relic | Программирование | 0 | 07.11.2008 13:21 |
Господа! Помогите убить Win XP и поставить Win ME | vervolf69 | Windows XP | 1 | 23.09.2008 13:36 |