Показано с 1 по 9 из 9.

Сетевая зараза (заявка № 108570)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2010
    Сообщений
    15
    Вес репутации
    51

    Сетевая зараза

    Проблема возникла еще месяц назад, когда на одном ПК (с которого последую логи) при работе начало выскакивать окно подключения к другому ПК требующее ввод имени и пароля, ИП всегда разные. На этой недели это событие началось на многих ПК в сети (в сети всего около 30 ПК). Антивирус используется нод СС 4,2.
    В попытке обнаружить беду - утилита доктора веба находила вирусы, трояны - удаляла их но они появлялись заного. А конкретно, в папке темп профиля пользователя появлялся процесс ТЕМП**.ехе (**- цифры), а в папке временных файлов ИЕ профиля network profile - всегда появлялись какие то .зип файлы которые др. веб видел как вирусы. Еще в директории систем32 появлялся процесс который скрывался под виндовским. С помощью АнВир добавлял этот процесс в карантин, но на его место успешно создавался похожий.
    Логи прикрепляю с пк с которого все началось. Но следующий более важный вопрос - установить причину возникновения и как с этим побороться, какие меры предпринять дабы в след. раз эта проблема не возникала.
    Установить систему заного на всех зараженных пк - не проблема, беда в том что переустановка ОС не решает проблему, так помогите пожалуйста ее решить.
    Заранее благодарю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) delfin_, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Установите все обновления безопасности, вышедшие после Service Pack 3:
    http://windowsupdate.microsoft.com/

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\wmpdln32.exe');
     TerminateProcessByName('c:\docume~1\user\locals~1\temp\tmp98.exe');
     QuarantineFile('C:\WINDOWS\system32\FlashPlayerCPLApp.cpl','');
     QuarantineFile('C:\WINDOWS\system32\wmpdln32.exe','');
     QuarantineFile('c:\docume~1\user\locals~1\temp\tmp98.exe','');
     DeleteFile('c:\docume~1\user\locals~1\temp\tmp98.exe');
     DeleteFile('C:\WINDOWS\system32\wmpdln32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Network Manager');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    28.05.2010
    Сообщений
    15
    Вес репутации
    51
    Скрипт выполнил, логи прикрепил, сейчас следует установка набора обновлений Security pre Service Pack 4. Скажите пожалуйста, достаточного ли этого или нужно все обновления ставить вручную? Неудобно ставить через майкрософт апдейт т.к. занимает больше времени.

    Карантин отправил.
    Код:
    Файл сохранён как	110910_083619_quarantine_4e6b218307f13.zip
    Размер файла	1019583
    MD5	7af49f1f92668c3a78103650bed571f6
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    28.05.2010
    Сообщений
    15
    Вес репутации
    51
    mbam log.
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Удалите в МВАМ только указанные строки
    Код:
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    
    Зараженные файлы:
    d:\System\мои документы\keys_all_kaspe;rsky_24.08.2011\keys_all_kaspersky_24.08.2011\kasper-keys.su (Trojan.Clicker) -> No action taken.
    d:\System\мои документы\keys_all_kaspersky_24.08.2011\kasper-keys.su (Trojan.Clicker) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. Это понравилось:


  10. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    У вас побывал сетевой червь.
    После установки обновлений системы:

    Выполните скрипт в AVZ отсюда:
    http://dataforce.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

    Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. Это понравилось:


  12. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\user\\locals~1\\temp\\tmp98.exe - Net-Worm.Win32.Kolab.autc ( DrWEB: BackDoor.IRC.Bot.1116, BitDefender: Trojan.Generic.6627228, AVAST4: Win32:IRCBot-DZH [Trj] )
      2. c:\\windows\\system32\\wmpdln32.exe - Backdoor.Win32.IRCBot.vdp ( DrWEB: BackDoor.IRC.Bot.1108, BitDefender: Trojan.Generic.6617776, AVAST4: Win32:IRCBot-DZH [Trj] )


  • Уважаемый(ая) delfin_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Похоже завелась сетевая зараза
      От Flash05 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.07.2012, 19:41
    2. Сетевая активность.
      От Vedmedya в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.01.2010, 15:50
    3. Ответов: 6
      Последнее сообщение: 13.11.2009, 16:51
    4. Сетевая атака
      От пелевало в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.05.2009, 00:19
    5. Неизвестная сетевая зараза
      От Big John в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.08.2008, 15:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01121 seconds with 18 queries