Сетевая зараза

Printable View

09.09.2011, 18:25
delfin_

Вложений: 3

Сетевая зараза

Проблема возникла еще месяц назад, когда на одном ПК (с которого последую логи) при работе начало выскакивать окно подключения к другому ПК требующее ввод имени и пароля, ИП всегда разные. На этой недели это событие началось на многих ПК в сети (в сети всего около 30 ПК). Антивирус используется нод СС 4,2.
В попытке обнаружить беду - утилита доктора веба находила вирусы, трояны - удаляла их но они появлялись заного. А конкретно, в папке темп профиля пользователя появлялся процесс ТЕМП**.ехе (**- цифры), а в папке временных файлов ИЕ профиля network profile - всегда появлялись какие то .зип файлы которые др. веб видел как вирусы. Еще в директории систем32 появлялся процесс который скрывался под виндовским. С помощью АнВир добавлял этот процесс в карантин, но на его место успешно создавался похожий.
Логи прикрепляю с пк с которого все началось. Но следующий более важный вопрос - установить причину возникновения и как с этим побороться, какие меры предпринять дабы в след. раз эта проблема не возникала.
Установить систему заного на всех зараженных пк - не проблема, беда в том что переустановка ОС не решает проблему, так помогите пожалуйста ее решить.
Заранее благодарю.
09.09.2011, 18:27
Info_bot

Уважаемый(ая) [B]delfin_[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.09.2011, 21:21
Nikkollo

Установите все обновления безопасности, вышедшие после Service Pack 3:
[url]http://windowsupdate.microsoft.com/[/url]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\wmpdln32.exe');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\tmp98.exe');
QuarantineFile('C:\WINDOWS\system32\FlashPlayerCPLApp.cpl','');
QuarantineFile('C:\WINDOWS\system32\wmpdln32.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\tmp98.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\tmp98.exe');
DeleteFile('C:\WINDOWS\system32\wmpdln32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Network Manager');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
10.09.2011, 12:43
delfin_

Вложений: 1

Скрипт выполнил, логи прикрепил, сейчас следует установка набора обновлений Security pre Service Pack 4. Скажите пожалуйста, достаточного ли этого или нужно все обновления ставить вручную? Неудобно ставить через майкрософт апдейт т.к. занимает больше времени.

Карантин отправил.
[CODE]Файл сохранён как 110910_083619_quarantine_4e6b218307f13.zip
Размер файла 1019583
MD5 7af49f1f92668c3a78103650bed571f6[/CODE]
10.09.2011, 12:48
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
10.09.2011, 14:07
delfin_

Вложений: 1

mbam log.
10.09.2011, 15:15
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
d:\System\мои документы\keys_all_kaspe;rsky_24.08.2011\keys_all_kaspersky_24.08.2011\kasper-keys.su (Trojan.Clicker) -> No action taken.
d:\System\мои документы\keys_all_kaspersky_24.08.2011\kasper-keys.su (Trojan.Clicker) -> No action taken.[/code]
11.09.2011, 03:11
Nikkollo

У вас побывал сетевой червь.
После установки обновлений системы:

Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
12.09.2011, 03:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\user\\locals~1\\temp\\tmp98.exe - [B]Net-Worm.Win32.Kolab.autc[/B] ( DrWEB: BackDoor.IRC.Bot.1116, BitDefender: Trojan.Generic.6627228, AVAST4: Win32:IRCBot-DZH [Trj] )[*] c:\\windows\\system32\\wmpdln32.exe - [B]Backdoor.Win32.IRCBot.vdp[/B] ( DrWEB: BackDoor.IRC.Bot.1108, BitDefender: Trojan.Generic.6617776, AVAST4: Win32:IRCBot-DZH [Trj] )[/LIST][/LIST]