Добрый день.
Сегодня на одной из машин запустили вложение в письмо типа письмо.scr
но со слов запустившего, на запрос UAC он ответил не запускать.
Тем не менее CureIt находит в ТЕМР *.bat файл который создается раз 30 секунд запуском consent.exe. (cureit назвал его Troyan.SIGGEN6.423)
Т.е. появляется окно предложением запустить cmd.exe с параметром /c C:\Users\**\appdata\local\temp\*****.bat
нажимая "нет" окно закрывается, но через 30 сек опять запускается, удаление батника ни к чему ни приводит.
Сам батник, судя по содержимому, создает пару разделов в реестре и запускет вирусняк в папке windows\system32\JHFDHGFH.exe
Этого файла там нет.
Комп не перезагружал (боюсь)
Посторонних процессов нет (кроме consent.exe - который системный - который появляется и исчезает после ответа НЕТ).
Установлен Symantec Endpoint Protection, обновлен, ни видит вообще проблем.
Cureit прошелся - файл (bat) удалил, больше ничего не нашел. Пробовал дважды запускть результат всегда один.
Последний раз редактировалось Maniacus26; 10.11.2015 в 16:55.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Maniacus26, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Не то, надо было загрузиться с нарезанного диска...
Ну так этот лог создан строго по инструкции, закатал диск, загрузился с него, выбрал диск с ОС (ДИСК Е) провел скан, сохранил лог, соммандером закатал на флешку и передал сюда.
Ничего кроме этого .bat файла в системе не видно.
Загрузитесь в безопасном режиме, оставьте у пользователя buh права обычного пользователя (если этого ещё не сделали), убедитесь, что защита системы включена и имеются свежие точки восстановления. Удалите .bat файл из папки C:\USERS\BUH\APPDATA\LOCAL\TEMP Загрузитесь в обычном режиме, отключив компьютер от сети - запрос на запуск с повышением прав будет появляться?
Лучше, чтобы у пользователя и не было прав администратора, иначе хлопот не оберёшься.
Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: