Постоянно появляются вирусы после лечения (было заражение baidu) [HEUR:Backdoor.Win32.Generic, HEUR:Trojan.Win32.Generic ]

[Sandor]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

[alex_007_89]

Выполнил

[alex_007_89]

Ситуация снова повторяется. =(
антивирус поймал 4 вируса. Два в корне диска С и два в system32. Последующая проверка ничего не обнаружила.

- - - - -Добавлено - - - - -

отчет о вирусах из касперского

[Sandor]

У Вас открыт доступ на папки:

D:\MIAC
d:\MIAC\PROGRAMS

Доступ с паролем?

Подготовьте лог MBAM,

[alex_007_89]

Выполнил сканирование лог приложил к сообщению.
папку C:\vir создавал сам и перемещал туда подозрительные файлики при первом заражении

сервер в домене и доступ к сетевым папкам разрешен только пользователям домена

[Sandor]

Удалите все найденное, включая файлы и этой папки.
Затем сделайте новое сканирование MBAM.

[alex_007_89]

MBAM повторно ничего не нашел. Лог приложил

Утром касперкий отловил 2 вируса.

[Sandor]

Вы сделали

Тип проверки: Выборочная проверка

а нужно Полную проверку.

Утром касперкий отловил 2 вируса

Те же?

Для эксперимента, пожалуйста, выполните 2 стандартный скрипт полиморфной версией AVZ.
Файл virusinfo_syscheck.zip приложите к следующему сообщению.

[alex_007_89]

Вирусы с типичными именами (вроде hex1.exe, xpserver.exe )
Запусти полную проверку MBAM лог приложу позже

- - - - -Добавлено - - - - -

Лог полной проверки MBAM

[regist]

Заархивируйте в zip архив с паролем virus все файлы, которые утром найдёт касперский и загрузите по ссылке Прислать запрошенный карантин вверху темы.

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


+ советую хотя бы на сутки отключиться от шары и проверить. Вирус скорее всего лезет через неё с какой-то из заражённых машин в сети.

- - - - -Добавлено - - - - -

на всех остальных маших в сети также стоит KES 10?

[alex_007_89]

Результат анализа карантина

Ночью остаются включены только сервера. на всех серверах запустил проверку MBAM
На рабочих станциях тоже стоит KES 10 управляется все консолью администрирования

[regist]

Ночью остаются включены только сервера. на всех серверах запустил проверку MBAM

так проблема скорее всего не на той машине, которая остаётся включённой, а на той которую включают утром. Во время включения срабатывает автозапуск вируса и этим объясняется это поведение.

d:\miac\programs\polyclinic\utils\tcppm.exe - not-a-virus:Server-Proxy.Win32.3proxy.jj - ваше?

[alex_007_89]

d:\miac\programs\polyclinic\utils\tcppm.exe - not-a-virus:Server-Proxy.Win32.3proxy.jj - ваше?

да это наше

массовые проверки KES результата не дают =(

[regist]

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

советую провести эту процедуру и на остальных компьютерах. Особой сложности не представляет, а возможно поможет выявить заражённую машину.
+ к написанному можно по одной перезагружать машины в сети и смотреть после включения которой KES снова отловит вирусы.

[alex_007_89]

Спасибо! буду проверять
о результатах отпишусь

- - - - -Добавлено - - - - -

Карантин касперского прислать не получается! антивирус сразу же снова помещает их на карантин
вот лог KES

[regist]

Карантин касперского прислать не получается! антивирус сразу же снова помещает их на карантин
вот лог KES

1) Временно приостановить работу файлового антивируса
2) Второе можно восстановить файлы из карантина.

[alex_007_89]

отправил файлы из карантина касперского. появляются в корне диска С и в C:\system32\
пароль на архив virus

[regist]

спасибо, ушло в вирлаб.

- - - - -Добавлено - - - - -

А машины в сети рекомендую пока просканировать с помощью CureIt.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\.exe - not-a-virus:HEUR:Downloader.Win32.Chindo.heur ( AVAST4: Win32:Malware-gen )
  2. \hexget.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader12.39650, AVAST4: Win32:Vitro )
  3. \hexmuma.exe - Trojan.Win32.Agent.ifxj ( BitDefender: Gen:Variant.Symmi.33994 )
  4. \hexsrver.exe - HEUR:Backdoor.Win32.Generic
  5. \hexyoushou.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader12.48019, BitDefender: Gen:Variant.Graftor.108707, AVAST4: Win32:Elknot-AA [Trj] )
  6. \hex123.exe - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Agent-AYXA [Trj] )
  7. \hex360sb.exe - Backdoor.Win32.Farfli.yny ( AVAST4: Win32:Malware-gen )