Попытка автозапуска BAT'ника

Добрый день.
Сегодня на одной из машин запустили вложение в письмо типа письмо.scr
но со слов запустившего, на запрос UAC он ответил не запускать.
Тем не менее CureIt находит в ТЕМР *.bat файл который создается раз 30 секунд запуском consent.exe. (cureit назвал его Troyan.SIGGEN6.423)

Т.е. появляется окно предложением запустить cmd.exe с параметром /c C:\Users\**\appdata\local\temp\*****.bat
нажимая "нет" окно закрывается, но через 30 сек опять запускается, удаление батника ни к чему ни приводит.
Сам батник, судя по содержимому, создает пару разделов в реестре и запускет вирусняк в папке windows\system32\JHFDHGFH.exe
Этого файла там нет.
Комп не перезагружал (боюсь)

Посторонних процессов нет (кроме consent.exe - который системный - который появляется и исчезает после ответа НЕТ).

Установлен Symantec Endpoint Protection, обновлен, ни видит вообще проблем.
Cureit прошелся - файл (bat) удалил, больше ничего не нашел. Пробовал дважды запускть результат всегда один.




[ATTACH]599406[/ATTACH]
[ATTACH]599407[/ATTACH]
[ATTACH=CONFIG]599412[/ATTACH]

Уважаемый(ая) [B]Maniacus26[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Деинсталлируйте браузер Амиго.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

Деинсталлировал Амиго.

Образ по ссылке
[url=https://cloud.mail.ru/public/LQkt/EyEynoEjS]UVS autorun log[/url]

Такой вот файл: C:\USERS\BUH\APPDATA\LOCAL\TEMP\AKK29FACCC24562.BAT
Содержимое:[CODE]@echo off
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run" /v "YOfowjvEjWgJsEPeOgTXIQVype" /t REG_SZ /f /d "C:\Windows\system32\hAjQFdwIbJuvRg.exe"[/CODE]
Явно пытается прописать зловреда в автозагрузку.

[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог Gmer[/URL].

Сделал лог

Запуск .bat файла идёт от процесса svchost.exe c pid=984, работающим от NT AUTHORITY\система, от какой именно службы - понять сложно.

[url=http://virusinfo.info/showthread.php?t=121985]Сделайте образ автозапуска uVS с Live CD[/url], только образ диска скачайте отсюда: [URL="https://www.wuala.com/al_1963/avirus/Live.CD/Winpe_uVS"]WINPE60_UVS3.86.ISO[/URL].

svchost.exe c pid=984 это по видимому и есть consent.exe который вызывает cmd.exe с ключом \C C:\USERS\BUH\APPDATA\LOCAL\TEMP\AKK29FACCC24562.BA T

Образ сделаю - только вот боюсь после перезагрузки получить зашифрованные базы 1С.
Комп как в 90% случаев тут "Бухгалтерский".

Отберите у пользователя buh права администратора, по возможности не загружайте компьютер с HDD, дождитесь анализа оффлайнового образа автозапуска.

Оффлайн лог тут

[URL="https://cloud.mail.ru/public/KSZw/nz7CmJLkp"]Лог оффлайн[/URL]

Не то, надо было загрузиться с нарезанного диска...

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[QUOTE=Vvvyg;1331170]Не то, надо было загрузиться с нарезанного диска...
[/QUOTE]

Ну так этот лог создан строго по инструкции, закатал диск, загрузился с него, выбрал диск с ОС (ДИСК Е) провел скан, сохранил лог, соммандером закатал на флешку и передал сюда.

Прошу прощения,это я образы перепутал... :?

Ничего кроме этого .bat файла в системе не видно.
Загрузитесь в безопасном режиме, оставьте у пользователя buh права обычного пользователя (если этого ещё не сделали), убедитесь, что защита системы включена и имеются свежие точки восстановления. Удалите .bat файл из папки C:\USERS\BUH\APPDATA\LOCAL\TEMP Загрузитесь в обычном режиме, отключив компьютер от сети - запрос на запуск с повышением прав будет появляться?

Перезагрузился в обычном режиме, запросов на запуск чего либо нет.
Предварительно убрав у пользователя права администратора.

Спасибо за помощь.
Похоже я "переиспугался".

Лучше, чтобы у пользователя и не было прав администратора, иначе хлопот не оберёшься.

Загрузите SecurityCheck by glax24 [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8)
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Запускал под админом.

Батник удалил, более не появляется.

За все спасибо. Тему можно считать закрытой.

Java 8 обновите до [URL="http://www.java.com/ru/download/manual.jsp"]Java 8 Update 65[/URL].

Ну и отсутствие SP1 и IE 8 на 7-ке - совсем уж не комильфо...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]