[решено] Вирусы в локальной сети

SwanHearts · Отправлено: **13:14, 09-04-2012** | #2

Немного дополню, klpclst.dat тоже имел место быть, Касперский сам его не находил, лишь после того как правой клавишей проверить файл он его удалил.

Не нашел как редактировать свой пост, по этому продолжаю просмотр форума и поиск файлов. Найден файл plg.txt с таким вот текстом:

Цитата:

alex_sev · Конфигурация компьютера

Подготовьте логи OSAM и uVS

SwanHearts · Отправлено: **13:52, 09-04-2012** | #4

OSAM
На этапе: После окончания сканирования, вам будет предложено провести анализ файлов, которые прописаны в автозапуск при помощи on-line сканера*.
Начинаю анализ и на 5 пункте: waiting for server analyse request - FAILED и подвисает (антивирус отключен на момент сканирования) можно нажать только Cancel.

SwanHearts · Отправлено: **13:57, 09-04-2012** | #5

Прикрепил файл.

Warrior Kratos · Отправлено: **14:16, 09-04-2012** | #6

SwanHearts, Здравствуйте! Сейчас просмотрю логи.

SwanHearts · Отправлено: **14:16, 09-04-2012** | #7

OSAM даже установил полную версию но ошибка все та же.

SwanHearts · Отправлено: **14:21, 09-04-2012** | #8

Прикрепленный файл без отсеивания.

Warrior Kratos · Отправлено: **14:40, 09-04-2012** | #9

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Паша\Application Data\MicroST', '*.*', false, '', 0, 0);
 QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\AdobeUpdater.lnk','');
 DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\AdobeUpdater.lnk');
 DeleteFile('C:\plg.txt');
 DeleteFileMask('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Паша\Application Data\MicroST', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6');
 DeleteDirectory('C:\Documents and Settings\Паша\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

2. Пофиксите в HJT:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)

Если это не ваша стартовая страница, то пофиксить:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.ticno.com

Если прокси не используете, то пофиксить:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

4.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

5.

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:
```
tdsskiller.exe -silent -qmbr -qboot
```
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Смените все пароли!!!
Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT.

SwanHearts · Отправлено: **15:05, 09-04-2012** | #10

После выполнения пункта 1 - выскочила ошибка (уже после создания карантина), но скрин сохранить не успел так пк перегрузился. Делаю остальные пункты. По локальной сети могу повторно заразится?

Цитата:

Results of screen317's Security Check version 0.99.32 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Antivirus up to date! (On Access scanning disabled!) ``````````````````````````````` Anti-malware/Other Utilities Check: Java(TM) 6 Update 26 Java version out of date! Adobe Flash Player 11.1.102.62 Adobe Reader 9 Adobe Reader out of date! Mozilla Firefox (11.0.) ```````````````````````````````` Process Check: objlist.exe by Laurent Kaspersky Lab Kaspersky Small Office Security avp.exe ``````````End of Log````````````