80 ответов в этой теме

[kolek]

backdoor.maxplus.24 или BackDoor.Maxplus.275 или чтото страшнее

[kolek]

после запуска вируса произошел мгновенный перезапуск компьютера , все антивирусы - нод32 (который стоял на то время), аваст (после удаления нод32), Dr.Web Security Space демо(после удаления аваста) все они выдают ошибку при запуске, при запуске сканера Dr.Web Security Space выдает ошибку (0x6ba) нажимаю исправить ошибку - перезапуск сканера и снова ошибка 0x5. вообще не работают программы по сбору логов, не хайджак не сусинфо не руткит ошибка при запуске "отказано в доступе к указанному устройству пути или файлу. возможно нет прав доступа " ( я сижу с администратора) . при использовании с б безопасного режима системы Dr.Web CureIt! находит вирус backdoor.maxplus.24 в списке процессов значится как "3563290091:344103979" , удаляет его но после перезагрузки (у меня сразу в админа входит) он (3563290091:344103979) снова в списке процессов и так раза 3 пробовал, после удаления снова появляется. после использования Dr.Web LiveCD сканирование системы которого заняло 19 часов на скорости 4 кб/сек , Dr.Web LiveCD обнаружил некоторые вирусы и применил к ним rename. после чего после перезагрузки системы нечего не изменилось все тот жэ процесс 3563290091:344103979 и backdoor.maxplus.24 в списке пайденых вирусов Dr.Web CureIt!. как с этим справиться ? могу дать файл вируса на анализ после которого все это начало происходить , я яго подхватил на американском сайте

онлайн проверка доктора вэба обнаружила BackDoor.Maxplus.275 но в описании его у вас нет

вирус скачан с сайта ... ( есть прямая ссылка которая у меня почемуто ужэ неработает но экземпляр вируса есть почемуто ни Dr.Web CureIt ни Dr.Web LiveCD арфив с ним не обнаружили.

Сообщение было изменено userr: 08 Ноябрь 2011 - 15:12
не постить ссылки на вирусы!

[userr]

при использовании с б безопасного режима системы Dr.Web CureIt! находит вирус backdoor.maxplus.24 в списке процессов значится как "3563290091:344103979" , удаляет его но после перезагрузки (у меня сразу в админа входит) он (3563290091:344103979) снова в списке процессов

давайте лог CureIt по Правилам из безопасного режима. пробуйте там же, в безопасном режиме запустить hijack & drwebsysinfo

[kolek]

1 загрузил компьютер в безопасном режиме
2 запустил HiJackThis выдал ошибку "отказано в доступе к указанному устройству, пути или файлу.Возможно у Вас нет нужных прав доступа к этому объекту."
3 запустил SysInspector - ощибка "отказано в доступе к указанному устройству, пути или файлу.Возможно у Вас нет нужных прав доступа к этому объекту."
4 запустил dwsysinfo.exe он после некоторого времени создал файл отчета его название COMP_Администратор_081111_162738.zip
5 запустил Dr.Web CureIt! (быстрая проверка) лог файл DrWeb.csv
6 запустил Dr.Web CureIt! еще раз (выборочная проверка по заданным мною папкам )лог файл 2DrWeb.csv

7 запустил Dr.Web CureIt! еще раз ( полная проверка диска с)лог файл "polnaia_proverka_diska_c_DrWeb.csv"
8 запустил Dr.Web CureIt! еще раз (выборочная проверка по заданным мною папкам ) лог файл "proverka_diska_d_DrWeb.csv"

9 перезагрузка компьютера и вход в безопасном режиме
10 запустил dwsysinfo.exe он после некоторого времени создал файл отчета его название "после_полной_проверки_диска_с___и_частичной_проверки_д_COMP_Администратор_081111_211612.zip"

есть еще файл DrWebSysInfo.log и CureIt.log

11 перезагрузка и вход в обычном режиме с администратора - в списке процессов висит процесс 3563290091:344103979

вывод: я так понимаю после стольких чисток и с Dr.Web CureIt! и с Dr.Web LiveCD все осталось попрежнему о чем свидетельствует процесс 3563290091:344103979

[kolek]

файлы логов

Прикрепленные файлы:

•  отчет.rar   4,99Мб   15 Скачано раз

[kolek]

не хочу некого обидеть но как можно считать антивирус действительно безопасным средством защиты от вирусов если при наличии вируса в базе данных он не идентифицируется в в системе ? Так например лежащий у меня вирус на диске "С" не был распознан потому что лежал в rar архиве "virus.rar" , в то время как рядом лежащая его копия "virus.ехе" была удалена. но ведь не трудно же посредством некоторой программы автоматически его извлеть и запустить на исполнение ?

[SergM]

Я тоже никого не хочу обижать. Вы хотите проверять архивы? В сканере и Гейте есть такие настройки. Лежащий в архиве вирус не опасен. Как только Вы попытаетесь его извлечь Спайдер его тут же прибьёт.

Сообщение было изменено SergM: 08 Ноябрь 2011 - 23:20
Убрано

[kolek]

интересная позиция (неопасен в архиве) а если он где-то в системной папке будет в архиве лежать и запускаться некоторой запускаемой для него программой после его изъятия из архива ?

[kolek]

надеюсь Спайдер всегда находит такие попытки извлечения ... но я когда извлекал его и положил в папку рядом с его архивом то установленный в то время Dr.Web Security Space демо, этого не заметил. Возможно конечно потому что он неработоспособен был ? так как установлен уже после заражения компьютера, после чего у меня теперь все антивирусы отторгаются системой (запускаются с выдачей ошибки и являются неработоспособными после чего закрываются.

[SergM]

интересная позиция (неопасен в архиве) а если он где-то в системной папке будет в архиве лежать и запускаться некоторой запускаемой для него программой после его изъятия из архива ?

Прибьётся гарантировано, ибо то, что изымается из архива пишется на диск во временную папку, а Спайдер это монитор файловой активности. Так что, ежели он его знает, то не пропустит. Можете даже сами попробовать .

[SergM]

так как установлен уже после заражения компьютера, после чего у меня теперь все антивирусы отторгаются системой (запускаются с выдачей ошибки и являются неработоспособными после чего закрываются.

У... Вам с логами установщика Доктора сюда или в ТП. И еще в Помощь по лечению уже с другими логами. Они в шапке раздела описаны.

[kolek]

и еще не понимаю такую позицию (не опасен в архиве значит можно не удалять) если бы я был бы разработчиком то я бы удалял любую копию, в любом виде, в любом месте так как любая копия в том же архиве может получить дальнейшее распространение по сети (пусть и в архиве) но получив распространение опять же может быть (случайно) запущена на другом компьютере, пользователем незнающим что в архиве не что иное как вирус .Не знаю, возможно такая позиция у Вас от того что Вы заинтересованы в этом с целью вечного спроса на антивирусы ?

[SergM]

и еще не понимаю такую позицию (не опасен в архиве значит можно не удалять) если бы я был бы разработчиком то я бы удалял любую копию, в любом виде, в любом месте так как любая копия в том же архиве может получить дальнейшее распространение по сети (пусть и в архиве) но получив распространение опять же может быть (случайно) запущена на другом компьютере, пользователем незнающим что в архиве не что иное как вирус .Не знаю, возможно такая позиция у Вас от того что Вы заинтересованы в этом с целью вечного спроса на антивирусы ?

Неа, не правы Вы тут. Проверка архивов спайдером (которые могут быть и гигабайтными, да и даже небольших) значительно увеличивает нагрузку на SpIDer Guard и, как следствие, на систему в целом. Попробуйте, например, включить опции Проверять работающие программы и модули и Проверять инсталляционные пакеты. Оцените после этого работу своего ПК.
Для проверки ПК существует сканер, который разработчики и советуют периодически запускать. И этот период должен быть разумным.

[kolek]

лог файл drweb-setup.log после установки и скриншоты ошибок

Прикрепленные файлы:

•  0.rar   190,37К   3 Скачано раз

[kolek]

после установки пока еще без перезагрузки сканерDr.Web запускается с ошибкой 0x6ba при попытке исправить ошибка 0x5

[SergM]

В общем-то ситуация понятная: руткит сидит и не дает установиться антивирусам (любым). Попробуйте обратиться в нашу ТП Дайте ссылку на эту тему. Кратко опишите ситуацию. Тут должны спецы вирлаба и ТП совместно помочь. Нам на форуме эту заразу самим не вывести. К сожалению.

[kolek]

заметил еще одну странность если нажать на ПУСК/ВЫХОД ИЗ СИСТЕМЫ/СМЕНА ПОЛЬЗОВАТЕЛЯ выхожу с администраторской учетной записи, появляется список пользователей компьютера, странность в том что в левом нижнем углу ранее присутствовала надпись "ВЫКЛЮЧИТЬ", а теперь её название "ВЫКЛЮЧИТЬ 55" может входя в систему я попадаю в какую-то учотку с пониженными правами администратора ? раз при запуске HiJackThis он выдает ошибку "отказано в доступе к указанному устройству, пути или файлу.Возможно у Вас нет нужных прав доступа к этому объекту." ?

[SergM]

Всё возможно. Курилка с новыми фичами (безопасный режим, второй рабочий стол) как раз и призвана бороться с таким поведение вирусов. Но вот что-то где-то не срослось....

[kolek]

была также ошибка с правами доступа при удалении антивируса нод32 (при попытки им стереть в лог файле установленных программ свое присутствие в системе ) после чего была вызвана ошибка "невозможно удалить"

[kolek]

кстате сказать что вирус пробрался в систему при установленном нод32 (которому и месяца небыло бета версия пробная на месяц), запуск опасного ехе файла которого он не заметил