файл скринсейвера rcs.jpg [Worm.Win32.Serach.a ]

[DrMasya]

Постоянно появляется в различных папках файл скринсейвера rcs.jpg (тип файла scr).
Вполне успешно удаляется вручную, но после перезагрузки появляется опять. Установленный антивирус Symantec его не видит. CureIt видит, идентифицирует как Trojan.Click2.35055, удаляет, но после перезагрузки файл появляется вновь.
Как можно защититься от такой напасти?

[Info_bot]

Уважаемый(ая) DrMasya, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

В файл hosts сами вписывали сайты?

[DrMasya]

нет

[Vvvyg]

Я правильно понимаю, компьютер рабочий, в локальной сети организации/предприятия?

Сделайте, пожалуйста лог такой версией AVZ Можно только 2-й стандартный скрипт, обновление баз делать не надо.

Сделайте логи RSIT.

[DrMasya]

Компьютер рабочий. В домене. Антивирус Symantec. Возможности отключать-настраивать-удалять его у пользователей нет.

[Vvvyg]

Два варианта: либо по сети пихают, либо через Skype. Обновите его версию и доступ других программ к Skype.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.

И ещё вопрос: Вы системный администратор, или пользователь?

[regist]

+ Заархивируйте этот файл в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

[DrMasya]

Спасибо. После выполнения скрипта, найдено две уязвимости.
"Поиск критических уязвимостей
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
http://www.microsoft.com/ru-ru/downl....aspx?id=29975 (требуется лицензионный Windows) или
http://download.microsoft.com/downlo...04-x86-RUS.exe

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...2-68243605db6b

Обнаружено уязвимостей: 2"

Сейчас скачаю КВ, поставлю. Со скайпом всё просто - можно просто удалить.

На компьютере пользователь, имеющий админские права.

[regist]

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Эти файлы в автозагрузке вам знакомы ?

Код:

O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [Help] help.cmd (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [LinkDel] linkdel.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [LinkDel] linkdel.cmd (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

- Сделайте лог полного сканирования МВАМ.

[DrMasya]

Профиксено в HijackThis.

Среди файлов в автозагрузке ничего криминального.

[Vvvyg]

Удалите в MBAM:

Код:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\Quarantine\APQ82.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\Quarantine\APQ85.tmp (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{F298F669-9047-49A3-A2D4-A77AE95A851F}\RP177\A0055443.scr (Trojan.Agent) -> Действие не было предпринято.
C:\wmi.cmd (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\key (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\left.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\rules.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\s.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\msolodovnik\Application Data\winxrar\sview (Trojan.Agent) -> Действие не было предпринято.

Что с проблемой?

[DrMasya]

После установки заплаток эта зараза в папках, открытых на общий доступ, появляться перестала. Проверенео в течении 2 дней и многократными перезагрузками, причем расшаренными папками активно пользовались другие пользователи.

Спасибо!!!

[regist]

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\gpj.scr - Worm.Win32.Serach.a ( DrWEB: Trojan.Click2.35055, BitDefender: Trojan.Generic.KD.720870, AVAST4: Win32:Trojan-gen )