Постоянно появляются вирусы после лечения (было заражение baidu) [HEUR:Backdoor.Win32.Generic, HEUR:Trojan.Win32.Generic ]

[LIST=1][*]Скачайте архив [url=http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.zip]TDSSKiller.zip[/url] и распакуйте его в отдельную папку;[*]Запустите файл [B][I]TDSSKiller.exe[/I][/B].[*]Нажмите кнопку "[b]Начать проверку[/b]". Не меняйте настройки сканирования по умолчанию.[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*][B][COLOR="Red"]Самостоятельно без указания консультанта ничего не удаляйте!!![/COLOR][/B][*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt[/i]

Выполнил

Ситуация снова повторяется. =(
антивирус поймал 4 вируса. Два в корне диска С и два в system32. Последующая проверка ничего не обнаружила.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

отчет о вирусах из касперского

У Вас открыт доступ на папки:
[QUOTE]D:\MIAC
d:\MIAC\PROGRAMS[/QUOTE]
Доступ с паролем?

Подготовьте лог [url=http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657]MBAM[/url],

Выполнил сканирование лог приложил к сообщению.
папку C:\vir создавал сам и перемещал туда подозрительные файлики при первом заражении

сервер в домене и доступ к сетевым папкам разрешен только пользователям домена

Удалите все найденное, включая файлы и этой папки.
Затем сделайте новое сканирование MBAM.

MBAM повторно ничего не нашел. Лог приложил

Утром касперкий отловил 2 вируса.

Вы сделали
[QUOTE]Тип проверки: Выборочная проверка[/QUOTE]
а нужно Полную проверку.


[quote="alex_007_89;1297483"]Утром касперкий отловил 2 вируса[/quote]
Те же?

Для эксперимента, пожалуйста, выполните 2 стандартный скрипт [url=http://z-oleg.com/avz.exe]полиморфной версией AVZ[/url].
Файл [B]virusinfo_syscheck.zip[/B] приложите к следующему сообщению.

Вирусы с типичными именами (вроде hex1.exe, xpserver.exe )
Запусти полную проверку MBAM лог приложу позже

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Лог полной проверки MBAM

Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] все файлы, которые утром найдёт касперский и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

+ - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.


+ советую хотя бы на сутки отключиться от шары и проверить. Вирус скорее всего лезет через неё с какой-то из заражённых машин в сети.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

на всех остальных маших в сети также стоит KES 10?

[URL="http://virusinfo.info/virusdetector/report.php?md5=8F0413DAACEEC816D4673ACB3A7A00F1"]Результат анализа карантина [/URL]

Ночью остаются включены только сервера. на всех серверах запустил проверку MBAM
На рабочих станциях тоже стоит KES 10 управляется все консолью администрирования

[quote="alex_007_89;1297589"]Ночью остаются включены только сервера. на всех серверах запустил проверку MBAM[/quote]
так проблема скорее всего не на той машине, которая остаётся включённой, а на той которую включают утром. Во время включения срабатывает автозапуск вируса и этим объясняется это поведение.

d:\miac\programs\polyclinic\utils\tcppm.exe - [b][COLOR="#FF0000"]not-a-virus:Server-Proxy.Win32.3proxy.jj[/COLOR][/b] - ваше?

[QUOTE=regist;1297601]

d:\miac\programs\polyclinic\utils\tcppm.exe - [B][COLOR=#FF0000]not-a-virus:Server-Proxy.Win32.3proxy.jj[/COLOR][/B] - ваше?[/QUOTE]


да это наше

массовые проверки KES результата не дают =(

[quote="regist;1297532"]+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.[/quote]
советую провести эту процедуру и на остальных компьютерах. Особой сложности не представляет, а возможно поможет выявить заражённую машину.
+ к [URL="http://virusinfo.info/showthread.php?t=187298&p=1297532&viewfull=1#post1297532"]написанному[/URL] можно по одной перезагружать машины в сети и смотреть после включения которой KES снова отловит вирусы.

Спасибо! буду проверять
о результатах отпишусь

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Карантин касперского прислать не получается! антивирус сразу же снова помещает их на карантин
вот лог KES

[quote="alex_007_89;1297615"]Карантин касперского прислать не получается! антивирус сразу же снова помещает их на карантин
вот лог KES[/quote]
1) Временно приостановить работу файлового антивируса
2) Второе можно восстановить файлы из карантина.

отправил файлы из карантина касперского. появляются в корне диска С и в C:\system32\
пароль на архив virus

спасибо, ушло в вирлаб.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

А машины в сети рекомендую пока просканировать с помощью CureIt.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\.exe - [B]not-a-virus:HEUR:Downloader.Win32.Chindo.heur[/B] ( AVAST4: Win32:Malware-gen )[*] \hexget.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.DownLoader12.39650, AVAST4: Win32:Vitro )[*] \hexmuma.exe - [B]Trojan.Win32.Agent.ifxj[/B] ( BitDefender: Gen:Variant.Symmi.33994 )[*] \hexsrver.exe - [B]HEUR:Backdoor.Win32.Generic[/B][*] \hexyoushou.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.DownLoader12.48019, BitDefender: Gen:Variant.Graftor.108707, AVAST4: Win32:Elknot-AA [Trj] )[*] \hex123.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( AVAST4: Win32:Agent-AYXA [Trj] )[*] \hex360sb.exe - [B]Backdoor.Win32.Farfli.yny[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]