Показано с 1 по 15 из 15.

файл скринсейвера rcs.jpg [Worm.Win32.Serach.a ] (заявка № 136811)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2013
    Сообщений
    6
    Вес репутации
    18

    файл скринсейвера rcs.jpg [Worm.Win32.Serach.a ]

    Постоянно появляется в различных папках файл скринсейвера rcs.jpg (тип файла scr).
    Вполне успешно удаляется вручную, но после перезагрузки появляется опять. Установленный антивирус Symantec его не видит. CureIt видит, идентифицирует как Trojan.Click2.35055, удаляет, но после перезагрузки файл появляется вновь.
    Как можно защититься от такой напасти?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) DrMasya, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    В файл hosts сами вписывали сайты?
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    03.04.2013
    Сообщений
    6
    Вес репутации
    18
    нет

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Я правильно понимаю, компьютер рабочий, в локальной сети организации/предприятия?

    Сделайте, пожалуйста лог такой версией AVZ Можно только 2-й стандартный скрипт, обновление баз делать не надо.

    Сделайте логи RSIT.
    Последний раз редактировалось Vvvyg; 10.04.2013 в 13:31.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    03.04.2013
    Сообщений
    6
    Вес репутации
    18
    Компьютер рабочий. В домене. Антивирус Symantec. Возможности отключать-настраивать-удалять его у пользователей нет.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Два варианта: либо по сети пихают, либо через Skype. Обновите его версию и доступ других программ к Skype.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.

    И ещё вопрос: Вы системный администратор, или пользователь?
    WBR,
    Vadim

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    + Заархивируйте этот файл в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  10. #9
    Junior Member Репутация
    Регистрация
    03.04.2013
    Сообщений
    6
    Вес репутации
    18
    Спасибо. После выполнения скрипта, найдено две уязвимости.
    "Поиск критических уязвимостей
    Несанкционированные цифровые сертификаты делают возможным подмену содержимого
    http://www.microsoft.com/ru-ru/downl....aspx?id=29975 (требуется лицензионный Windows) или
    http://download.microsoft.com/downlo...04-x86-RUS.exe

    Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...2-68243605db6b

    Обнаружено уязвимостей: 2"

    Сейчас скачаю КВ, поставлю. Со скайпом всё просто - можно просто удалить.

    На компьютере пользователь, имеющий админские права.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Профиксите в HijackThis

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    Эти файлы в автозагрузке вам знакомы ?

    Код:
    O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\Run: [Help] help.cmd (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [LinkDel] linkdel.cmd (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [LinkDel] linkdel.cmd (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
    - Сделайте лог полного сканирования МВАМ.

  12. #11
    Junior Member Репутация
    Регистрация
    03.04.2013
    Сообщений
    6
    Вес репутации
    18
    Профиксено в HijackThis.

    Среди файлов в автозагрузке ничего криминального.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Удалите в MBAM:
    Код:
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\Quarantine\APQ82.tmp (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\Quarantine\APQ85.tmp (Trojan.Agent) -> Действие не было предпринято.
    D:\System Volume Information\_restore{F298F669-9047-49A3-A2D4-A77AE95A851F}\RP177\A0055443.scr (Trojan.Agent) -> Действие не было предпринято.
    C:\wmi.cmd (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\key (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\left.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\rules.css (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\s.htm (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\msolodovnik\Application Data\winxrar\sview (Trojan.Agent) -> Действие не было предпринято.
    Что с проблемой?
    WBR,
    Vadim

  14. #13
    Junior Member Репутация
    Регистрация
    03.04.2013
    Сообщений
    6
    Вес репутации
    18
    После установки заплаток эта зараза в папках, открытых на общий доступ, появляться перестала. Проверенео в течении 2 дней и многократными перезагрузками, причем расшаренными папками активно пользовались другие пользователи.

    Спасибо!!!

  15. #14

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\gpj.scr - Worm.Win32.Serach.a ( DrWEB: Trojan.Click2.35055, BitDefender: Trojan.Generic.KD.720870, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) DrMasya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 15.01.2013, 00:45
    2. Ответов: 1
      Последнее сообщение: 29.03.2011, 20:42
    3. Создает на флешкарте файл autorun.inf и файл самого вируса (заявка №42755)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 17.12.2010, 00:00
    4. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:48
    5. Не могу избавиться от Скринсейвера синий экран
      От Ильдар Маратович в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.08.2008, 11:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00128 seconds with 17 queries