Здравствуйте. У меня в офисе сеть с 6 пк. Стоял антивирус Avira internet Cecurity. Все было прекрасно пока в один момент пользователь с ограниченными правами (НЕ Администратор) подхватил порно баннер. Каким образом на пользователе этот вирус сработал без Админ прав не знаю, второй вопрос почему антивирус пропустил его тоже непонятно. Почистил от порно баннера пк и сеть с 6 пк и сменил антивирус на Касперского small office. Но последнее время сайты к которым я имею доступ стали заражаться вирусами. Пароли после заражения пк и смене антивируса все поменял, пароль генерировал через менеджер паролей Касперского с использованием спец символов. Соответственно не пользуюсь напоминаниями паролей браузеров. У меня бытует мнение что вирус по локалке прыгает с одного пк на другой. Остальные пользователи пк без Админ прав.
Вопрос: поможете все 6 пк вылечить или только один?

Немного дополню, klpclst.dat тоже имел место быть, Касперский сам его не находил, лишь после того как правой клавишей проверить файл он его удалил.

Не нашел как редактировать свой пост, по этому продолжаю просмотр форума и поиск файлов. Найден файл plg.txt с таким вот текстом:
cyberplat.plug|fWqAkM0HRc6QGhrYyz.tiff
ddos.plug|XMbY1AaFwtH9xPcD7.bmp
miniav.plug|KWqtxB3dGZ2Xg.psd
passw.plug|DpRCZ943AjMqNwBXhc.bmp
sb.plug|y27rT0m19ShPBJ3ANvMY8tKcQH.psd
stopav.plug|pcAfz6DNgFq8w3JBV.psd

Подготовьте логи OSAM (http://safezone.cc/forum/showthread.php?t=4335) и uVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)

OSAM
На этапе: После окончания сканирования, вам будет предложено провести анализ файлов, которые прописаны в автозапуск при помощи on-line сканера*.
Начинаю анализ и на 5 пункте: waiting for server analyse request - FAILED и подвисает (антивирус отключен на момент сканирования) можно нажать только Cancel.

Прикрепил файл.

SwanHearts, Здравствуйте! Сейчас просмотрю логи.

OSAM даже установил полную версию но ошибка все та же.

Прикрепленный файл без отсеивания.

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\Паша\Application Data\MicroST', '*.*', false, '', 0, 0);
QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\AdobeUpdater.lnk','');
DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\AdobeUpdater.lnk');
DeleteFile('C:\plg.txt');
DeleteFileMask('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Паша\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6');
DeleteDirectory('C:\Documents and Settings\Паша\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы (http://www.oszone.net/virusnet/), укажите ссылку на тему и ник на форуме.

2. Пофиксите в HJT (http://safezone.cc/forum/showthread.php?t=9):
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)
Если это не ваша стартовая страница, то пофиксить:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.ticno.com
Если прокси не используете, то пофиксить:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
3.Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

4.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или с зеркала (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

5. Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщениюПо умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Смените все пароли!!!
Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT.

После выполнения пункта 1 - выскочила ошибка (уже после создания карантина), но скрин сохранить не успел так пк перегрузился. Делаю остальные пункты. По локальной сети могу повторно заразится?

Results of screen317's Security Check version 0.99.32 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Antivirus up to date! (On Access scanning disabled!) ``````````````````````````````` Anti-malware/Other Utilities Check: Java(TM) 6 Update 26 Java version out of date! Adobe Flash Player 11.1.102.62 Adobe Reader 9 Adobe Reader out of date! Mozilla Firefox (11.0.) ```````````````````````````````` Process Check: objlist.exe by Laurent Kaspersky Lab Kaspersky Small Office Security avp.exe ``````````End of Log````````````

Последний пункт так же выполнен

Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT. »
???

В MBAM повторить сканирование удалить только указанные строки:
Обнаруженные ключи в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.


Обновить:
- Обновите Java до актуальной версии (http://www.oszone.net/go.php?url=http://java.com/ru/download/windows_manual.jsp?locale=ru&host=java.com)
- Обновите Adobe Reader до актуальной версии (http://www.oszone.net/go.php?url=http://get.adobe.com/reader/)

Что с проблемой?

По локальной сети могу повторно заразится? »
Если будете проявлять неосторожность, то можете...

Прикрепил. По ссылкам не переходит, пришлось их редактировать (относительно загрузки и Adobe Reader отказался устанавливаться).

Выполните скрипт в AVZ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Паша\Главное меню\Программы\Автозагрузка\AdobeUpdater.lnk','');
DeleteFile('C:\Documents and Settings\Паша\Главное меню\Программы\Автозагрузка\AdobeUpdater.lnk');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Паша^Главное меню^Программы^Автозагрузка^AdobeUpdate.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы (http://www.oszone.net/virusnet/), укажите ссылку на тему и ник на форуме.

Повторите лог RSIT.

По ссылкам не переходит, пришлось их редактировать (относительно загрузки и Adobe Reader отказался устанавливаться). »
Вот рабочие ссылки
http://www.oszone.net/go.php?url=http://java.com/ru/download/windows_manual.jsp?locale=ru&host=java.com
http://www.oszone.net/go.php?url=http://get.adobe.com/reader/

Здравствуйте. Прикрепил файл. По ссылкам не переходит, а точнее не идет перенаправление с вашего сайта.
По следующему компьютеру писать в эту тему или новую создать?

По следующему компьютеру писать в эту тему или новую создать? »
создать новую тему.

Здравствуйте. Прикрепил файл. »
карантин не надо прикреплять к теме, удалите его. Карантин надо отправлять с помщью этой http://www.oszone.net/virusnet/ формы Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме. »

regist, Здравствуйте, виноват, исправлюсь.