Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 11.10.2011, 00:32   #1 (ссылка)
Новичок
 
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
По умолчанию Помогите убить BackDoor.MaxPlus.24

Доброго времени суток!

Набрел на сей чудеснейший форум во время поиска способа уничтожения указанного в названии темы вируса. Насколько я знаю, данная версия вируса достаточно нова и весьма сложноубиваема. Неудивительно, что ни Avira, ни ESET (вообще отказался работать на зараженном компьютере), ни Касперский (та же история, что и с ESET'ом), ни даже Cureit! в безопасном режиме не смогли убить проказника. Посему, полный отчаяния, я обращаюсь к Вам. Мне очень нужна помощь.

Просмотрев тему, созданную пользователем, имеющим такую же проблему, что и я, решил сразу просканировать систему указанными Safety программами, так что вот архивчик с логами: http://rghost.ru/25077951

Благодарю за внимание и очень надеюсь на Вашу помощь!
Mittenz вне форума  
Старый 11.10.2011, 01:29   #2 (ссылка)
Мастер
 
Аватар для maksimog
 
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
По умолчанию

Потому что сканить надо с диска, боротся с вирусом конечно можно и в реальной системе, но лучше всего скачать образ по ссылке записать на диск, загрузится с него и выполнить полное сканирование системы
http://ess.nichost.ru/eset_sysrescue.iso
maksimog вне форума  
Старый 11.10.2011, 07:04   #3 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

сложность в том, что здесь еще и заражается известный драйвер. В случае ZAccess, как и предупреждал Кузнецов Дмитрий, автор uVS, каждый раз это может быть случайно выбранный драйвер.
-----
вариант с Live.CD от ESET Russia, который предлагает maksimog, должен помочь в лечении драйвера.

два других варианта:

1. выполнить скрипт в uVS в безопасном режиме.

Код:
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\1710880027:3825862298.EXE
addsgn C12C27CA3D6A4C320BBEABE13498466DA588BCF6E1FA1F6885973AA9ACD7314CDC023B567E55625CDB81C49F1A1676FA42DFB47214DAF32C7D77ED2FE4067273 8 rmnet.vir

delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MSADO320.TLB
delall %SystemRoot%\1710880027:3825862298.EXE
bl 0FB635684340943E6E7F954AFFFD943E 75264
zoo %Sys32%\DRIVERS\DFSC.SYS
chklst
delvir
deltmp
delnfr
restart
в данном случае нужен будет чистый драйвер DFCS.sys для перезаписи. его, возможно, придется перезаписать из под Live.CD

2. пролечить с помощью tdsskiller эти объекты

22:40:01.0280 1484 1bf5f965 ( HiddenFile.Multi.Generic ) - skipped by user
22:40:01.0280 1484 1bf5f965 ( HiddenFile.Multi.Generic ) - User select action: Skip
22:40:06.0724 1484 C:\Windows\system32\Drivers\dfsc.sys - will be cured on reboot
22:40:06.0724 1484 DfsC ( Rootkit.Win32.ZAccess.h ) - User select action: Cure
--------
Вообщем, при любом из методов, который будете использовать,
сделайте после лечения новые логи: образ автозапуска uVS и tdsskiller.
safety вне форума  
Старый 11.10.2011, 23:38   #4 (ссылка)
Новичок
 
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
По умолчанию

Спасибо, спасибо, спасибо вам огромное за помощь! Я в итоге воспользовался третьим вариантом, предложенным Safety, ибо не совсем понял механизм второго и у меня не было под рукой болванки для первого, предложенного Maksimog. Злосчастного BackDoor'а на компьютере больше нет, НО меня беспокоят драйверы m5287.sys и m5288.sys без цифровой подписи. Насколько я знаю, драйверы нужные, но мне также стало известно, что под них любят маскироваться вирусы, к тому же в моем случае оба файла не имеют подписи, что настораживает...

В любом случае, вот логи с вылеченного компьютера: http://rghost.ru/25211921

И еще раз спасибо за помощь! Вы меня таки спасли (:
Mittenz вне форума  
Старый 12.10.2011, 00:53   #5 (ссылка)
Мастер
 
Аватар для maksimog
 
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
По умолчанию

В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код:
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1414441658-3192887378-1310926444-500\EMSWAPAP2.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MSADO320.TLB
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHECKUPDATES.EXE
regt 1
regt 2
regt 3
regt 18
exec MSIEXEC.EXE /X{D03482C5-9AD8-496D-B388-692AE04C93AF}
deltmp
delnfr
restart
И жмем выполнить.
На запросы программы жмем ДА
ПК перезагрузится
Спасибо.
maksimog вне форума  
Старый 12.10.2011, 07:28   #6 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

по драйверам m5287.sys, m5288.sys такая информация из образа автозапуска.
драйвера имеют статус - отключены. проверка по хэшам на ВТ - чистые (в том смысле, что нет по ним детекта антивирусов)
------
Цитата:
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\M5287.SYS
Имя файла M5287.SYS
Тек. статус ПРОВЕРЕННЫЙ отключенный драйвер в автозапуске

www.virustotal.com 2011-01-23 [2009-05-14]
- Файл был чист на момент проверки.

Сохраненная информация на момент создания образа
Статус отключенный драйвер в автозапуске
Размер 104320 байт
Создан 11.10.2010 в 16:53:58
Изменен 20.07.2006 в 22:47:12
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя
Версия файла 6.212
Описание ULi SATA Controller Driver
Производитель ULi Electronics Inc.

Доп. информация на момент обновления списка
SHA1 A98C538636794E72E9B960EDBCD344980542776A
MD5 EA5D45CB664E7EC7E0906FB670334C45

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\m5287\Image Path
ImagePath \SystemRoot\system32\drivers\m5287.sys
m5287 тип запуска: Отключено (4)
------
Цитата:
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\M5288.SYS
Имя файла M5288.SYS
Тек. статус ПРОВЕРЕННЫЙ отключенный драйвер в автозапуске

www.virustotal.com 2011-03-16 [2008-07-10]
- Файл был чист на момент проверки.

Сохраненная информация на момент создания образа
Статус отключенный драйвер в автозапуске
Размер 211072 байт
Создан 11.10.2010 в 16:53:58
Изменен 19.07.2006 в 21:48:14
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя
Версия файла 6.221
Описание ULi SATA Controller Driver
Производитель ULi Electronics Inc.

Доп. информация на момент обновления списка
SHA1 B9A83D972591E9B05838D192C8A9F47996515A4B
MD5 C0B201B3C26CD187AAA797577D4B48FC

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\m5288\Image Path
ImagePath \SystemRoot\system32\drivers\m5288.sys
m5288 тип запуска: Отключено (4)
-------------------
а вот третий драйвер m5289.sys имеет цифровую подпись.

Цитата:
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\M5289.SYS
Имя файла M5289.SYS
Тек. статус ПРОВЕРЕННЫЙ отключенный драйвер в автозапуске

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ отключенный драйвер в автозапуске
Размер 52480 байт
Создан 11.10.2010 в 16:53:58
Изменен 04.07.2005 в 17:21:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows Hardware Compatibility Publisher

Оригинальное имя
Версия файла 5.030
Описание ULi SATA RAID Controller Driver
Производитель ULi Electronics Inc.

Доп. информация на момент обновления списка
SHA1 53361AC1BA33D7275C6D36FBB31F35E5A52B19B2
MD5 E1CA1EA9AD7C8C50EA533829A6854D63

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\m5289\Image Path
ImagePath \SystemRoot\system32\drivers\m5289.sys
m5289 тип запуска: Отключено (4)
как вариант, проверьте первые два на ВТ.
safety вне форума  
Старый 12.10.2011, 22:45   #7 (ссылка)
Новичок
 
Регистрация: 10.10.2011
Сообщений: 4
Репутация: 0
По умолчанию

Спасибо за исчерпывающую информацию, проверил оба на ВТ, оказались чисты. Это радует. И, наконец, последний вопрос:

Maksimog, если сканировать систему с диска, то стоит настроить First Boot Device на DVD-привод или же запускать из Windows'а?

Спасибо ^^
Mittenz вне форума  
Старый 12.10.2011, 22:48   #8 (ссылка)
Мастер
 
Аватар для maksimog
 
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
По умолчанию

настроить First Boot Device на DVD-привод
maksimog вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
RC=3221225477 BackDoor.MaxPlus.24 Artur13 Безопасность 8 11.10.2011 14:49
помогите убить вирь Anatolii_K Безопасность 13 31.08.2011 01:25
Smaxi.Net. Помогите убить гада Kaisernicht Безопасность 5 03.08.2011 00:48
Помогите убить вирусятину ! 6yu Безопасность 9 03.07.2011 17:50
Помогите убить вирус!!! buyan666 Безопасность 0 18.06.2011 18:42
как удалить вирус Backdoor.Win 32.Ruskill.bz svan Безопасность 1 10.06.2011 11:37
Помогите убить заразу, достала уже... AlexBS Безопасность 14 13.04.2011 07:10
Определен: BackDoor-AWQ (Trojan), BackDoor-AWQ (троянский конь) ElenaS Безопасность 1 07.06.2010 22:36
Помогите убить вирус)) Nusmumrik Windows XP 8 17.03.2010 00:16
помогите убить вирус rt752k Безопасность 27 18.04.2009 23:01
BackDoor. Relic Программирование 0 07.11.2008 13:21
Господа! Помогите убить Win XP и поставить Win ME vervolf69 Windows XP 1 23.09.2008 13:36


Текущее время: 17:22. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.