KIS 2011 обнаружил Неизвестную угрозу UDS:DangerousObject.Multi.Generic. Количество троянов на компьютере постоянно растет. Параллельно еще ругался на c:\windows\ggdrive32.exe - HEUR:Worm.Win32.Generic. Запустила полную чистку Касперским, работает больше 15 часов уже. Утилита DrWeb CureLt от 13 апреля не стартует, толи битый файл, толи вирусы его блокируют. Что с этим делать? Логи прилагаю. Спасибо.

Сегодня скачала свежий DrWeb CureLt, запустился и работает. Подозрение вызывают файлы с расширением "exe" в папке "C:\Documents and Settings\Administrator\Local Settings\Temp", которые не поддаются "тупому" удалению. Слышала, что так могут вести себя вирусы, Что можно сними поделать?

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

Обновляем систему до SP3 + все последние обновления. Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) (может потребоваться активация)

сделайте лог RSIT
Скачайте Random's System Information Tool (RSIT).

Для 32-разрядной версии Windows: скачать (http://www.safezone.cc/random/ru/RSIT.exe) (зеркало (http://images.malwareremoval.com/random/ru/RSIT.exe)).
Для 64-разрядной версии Windows: скачать (http://www.safezone.cc/random/ru/RSITx64.exe) (зеркало (http://images.malwareremoval.com/random/ru/RSITx64.exe)).
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Как определить разрядность системы (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

что за файлы в папке с расширением "exe" ?? имена в студию

День добрый!
Утилита DrWeb CureLt отработала и сообщений об обнаруженных вирусов не дала.
Касперский (лицензионный) опять обнаруживает "толпы" троянов (350) и вирусов (110), это видно из отчетов.
"что за файлы в папке с расширением "exe" ?? имена в студию" - сегодня этих файлов уже не обнаружила, но напрягает файл с именем ms2.exe в папке "C:\Documents and Settings\Материалист" (Материалист - имя учетной записи пользователя).
Касперский ругается на файлы с расширением "exe" в папке "C:\Documents and Settings\Материалист", я эту папку открываю а файлов заданного имени из отчета Касперского не нахожу. Вот я и думаю, не является ли автором этих зараженных файлов файл ms2.exe?
IE обновила до версии 8.
Обновила систему до SP3.
Сделала лог RSIT. протоколы прилагаю.
Выполнила MBAM с обновленными базами.
Прилагаю все протоколы и новые с AVZ.

Еще один файл.

Касперский (лицензионный) опять обнаруживает "толпы" троянов (350) и вирусов (110), »

что за вирус, название из отчета приведите

Привожу протокол из Каспера.

Вчера запускала полную проверку из Каспера, вышел очень миленький протокол "Угроз не обнаружено", а глядя на то, что говорят сегодня отчеты, то там все просто кишит червями...

Обновила систему до SP3. »
а все последующие обновления (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru) для ОС выполнили?
без этого лечение сетевого червя малоэффективно

напрягает файл с именем ms2.exe
этот файл на http://www.virustotal.com
ссылку на проверку сюда

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\21.exe','');
DeleteFile('C:\WINDOWS\System32\21.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Что-то в нашем случаем логи малоинформативны..
давайте так

В обязательном порядке
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Ссылку после проверки на http://www.virustotal.com
http://www.virustotal.com/file-scan/report.html?id=4e40fd2a8f629bdd40e5236b4c3c97cf6f7ead71eb0592335b15dd1957ee57df-1302852933
Остальное продолжаю выполнять.

Восстановление системы у меня было отключено.
Все выполнила. Прилагаю протокол ComboFix.

Прилагаю протоколы ComboFix.

Обновления для SP3 поставили?

OJSC Sibirtelecom - ваш провайдер?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\002706_.tmp

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

каковы изменения в самочувствии?

OJSC Sibirtelecom - да наш провайдер.
Остальное с утра в понедельник, рабочий день закончился. Спасибо. И.

"каковы изменения в самочувствии?" - Проблем именно с этой машиной не наблюдалось, напугал Касперский своим протокол, а начали проверять все машины в сети после того, как комп-сервер с базами по 1С стал периодически пропадать из "сетевого окружения", закрывать к себе доступ и также неожиданно вдруг объявляться. Вот такие проблемы.

до понидельника..
сколько компов в сети?
главный комп отключить от сети и пролечить
один комп-одна тема

День добрый! Windows До SP3 обновила. Запустила ComboFix.exe с "наложенным" CFScript.txt. Отработал как-то коротко, файла отчета не нашла, но пока искала обнаружила папку C:\ComboFix с файлом pev.exe от 26 апр 2011г. Проявила инициативу и отправила файл на диагностику на сайт www.virustotal.com. Вот результат http://www.virustotal.com/file-scan/report.html?id=deaaab3b825ebadb6395e0be7671f96fd30ca8f76159b53c2d11da5c2ca7b7d0-1303094764
Сейчас повторю ComboFix.exe с "наложенным" CFScript.txt. Результат сообщю.

День добрый!
Компов в сети 8. Один из них работает, как "Удаленное рабочее место" специалиста, который сидит в другом офисе за 200 км. Доступ через инет. Именно с этим компьютером и проблемы, о которых вещает нам Касперский. Сегодня с утра за короткий срок отловил и троянов и вирусов (130 шт. всего) за короткий промежуток. И не дает сообщение, что пролечено либо удалено, только Обнаружено. Попытка пройти по ссылке на папку. в которой обнаружено, говорит, что не нашла такого пути... В чем прикол, не пойму, может уже Касперу писать?
Первая попытка запустить ComboFix с наложенным файлом не увенчалась успехом. Переименовала ComboFix.exe в Temp.exe. Все отработало, протокол прилагаю.
"главный комп отключить от сети и пролечить" - лечила, правда "не отключала", создавала отдельную тему, но специалисты ничего в протоколах такжк не обнаружили.
Сегодня на ночь отрублю от сети и снова запущу диагнстику. Чем лучше посоветуете сканить. На нем стоит лицензионный Каспер.
Спасибо.

"обнаружила папку C:\ComboFix с файлом pev.exe от 26 апр 2011г." - извините 2010г.!!!!

Чем лучше посоветуете сканить »
утилитой Dr.Web CureNet! - сканирует всю сеть разом, но она платная
а из бесплатных попробуйте Dr.Web LiveCD с обязательным отключением от сети

День добрый! Windows До SP3 обновила »
а все последующие обновления поставили?

C:\ComboFix с файлом pev.exe »
это от ComboFix

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\002706_.tmp

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up[/B

Каспер ругается на зловредов, сидящих в папках "корзина" и "system volume information\_restore" (точки восстановления), поэтому

Еще раз повторяюсь:

В обязательном порядке
Создайте новую контрольную точку восстановления и очистите заражённые:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив [b]Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

+

Очистите кэш память браузеров.
в Internet Explorer - открыть окно браузера и выбрать «Инструменты» из меню на верхней панели, выбрать «Параметры Интернета» (последняя опция в списке).
находим кнопку «Удалить файлы». Щелкните по этой кнопке, затем отметьте «Удалить содержимое», затем нажимаем «Готово». Когда операция будет закончена, щелкните «Готово» и закройте окно панели управления.
Opera
Откройте браузер, выберите «Инструменты» из меню на верхней панели и наведите курсор на «Предпочтения», щелкните по опции «История и кэш память» нажмите «Очистить немедленно», по окончании операции щелкните «Готово» и закройте окно браузера.
Firefox
откройте окно браузера Firefox и щелкните «Инструменты» - «Опции», щелкните на иконке «Конфиденциальность». нажмите кнопку «Очистить», щелкните «Готово» и закройте окно браузера.

далее повторите логи RSIT, MBAM

Если антивирус после проведенных выше телодвижений снова будет ругаться на "130 вирусов" приведите свежий отчет Касперского.