Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирусы в локальной сети (http://forum.oszone.net/showthread.php?t=232400)

SwanHearts 09-04-2012 12:42 1896165
Вирусы в локальной сети
 
Здравствуйте. У меня в офисе сеть с 6 пк. Стоял антивирус Avira internet Cecurity. Все было прекрасно пока в один момент пользователь с ограниченными правами (НЕ Администратор) подхватил порно баннер. Каким образом на пользователе этот вирус сработал без Админ прав не знаю, второй вопрос почему антивирус пропустил его тоже непонятно. Почистил от порно баннера пк и сеть с 6 пк и сменил антивирус на Касперского small office. Но последнее время сайты к которым я имею доступ стали заражаться вирусами. Пароли после заражения пк и смене антивируса все поменял, пароль генерировал через менеджер паролей Касперского с использованием спец символов. Соответственно не пользуюсь напоминаниями паролей браузеров. У меня бытует мнение что вирус по локалке прыгает с одного пк на другой. Остальные пользователи пк без Админ прав.
Вопрос: поможете все 6 пк вылечить или только один?

SwanHearts 09-04-2012 13:14 1896182
Немного дополню, klpclst.dat тоже имел место быть, Касперский сам его не находил, лишь после того как правой клавишей проверить файл он его удалил.

Не нашел как редактировать свой пост, по этому продолжаю просмотр форума и поиск файлов. Найден файл plg.txt с таким вот текстом:
Цитата:
cyberplat.plug|fWqAkM0HRc6QGhrYyz.tiff
ddos.plug|XMbY1AaFwtH9xPcD7.bmp
miniav.plug|KWqtxB3dGZ2Xg.psd
passw.plug|DpRCZ943AjMqNwBXhc.bmp
sb.plug|y27rT0m19ShPBJ3ANvMY8tKcQH.psd
stopav.plug|pcAfz6DNgFq8w3JBV.psd

alex_sev 09-04-2012 13:39 1896199
Подготовьте логи OSAM и uVS

SwanHearts 09-04-2012 13:52 1896209
OSAM
На этапе: После окончания сканирования, вам будет предложено провести анализ файлов, которые прописаны в автозапуск при помощи on-line сканера*.
Начинаю анализ и на 5 пункте: waiting for server analyse request - FAILED и подвисает (антивирус отключен на момент сканирования) можно нажать только Cancel.

SwanHearts 09-04-2012 13:57 1896216
Прикрепил файл.

Warrior Kratos 09-04-2012 14:16 1896235
SwanHearts, Здравствуйте! Сейчас просмотрю логи.

SwanHearts 09-04-2012 14:16 1896236
OSAM даже установил полную версию но ошибка все та же.

SwanHearts 09-04-2012 14:21 1896241
Прикрепленный файл без отсеивания.

Warrior Kratos 09-04-2012 14:40 1896272
1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Паша\Application Data\MicroST', '*.*', false, '', 0, 0);
 QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\AdobeUpdater.lnk','');
 DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\AdobeUpdater.lnk');
 DeleteFile('C:\plg.txt');
 DeleteFileMask('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Паша\Application Data\MicroST', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Паша\Application Data\kFv3DjpT2zqLOZ6');
 DeleteDirectory('C:\Documents and Settings\Паша\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

2. Пофиксите в HJT:
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)
Если это не ваша стартовая страница, то пофиксить:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.ticno.com
Если прокси не используете, то пофиксить:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

4.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

5.
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Смените все пароли!!!
Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT.

SwanHearts 09-04-2012 15:05 1896298
После выполнения пункта 1 - выскочила ошибка (уже после создания карантина), но скрин сохранить не успел так пк перегрузился. Делаю остальные пункты. По локальной сети могу повторно заразится?

Цитата:
Results of screen317's Security Check version 0.99.32 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Antivirus up to date! (On Access scanning disabled!) ``````````````````````````````` Anti-malware/Other Utilities Check: Java(TM) 6 Update 26 Java version out of date! Adobe Flash Player 11.1.102.62 Adobe Reader 9 Adobe Reader out of date! Mozilla Firefox (11.0.) ```````````````````````````````` Process Check: objlist.exe by Laurent Kaspersky Lab Kaspersky Small Office Security avp.exe ``````````End of Log````````````

SwanHearts 09-04-2012 16:11 1896352
Последний пункт так же выполнен

Warrior Kratos 09-04-2012 16:18 1896369
Цитата:
Цитата Warrior Kratos
Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT. »
???

В MBAM повторить сканирование удалить только указанные строки:
Код:
Обнаруженные ключи в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Обновить:
- Обновите Java до актуальной версии
- Обновите Adobe Reader до актуальной версии

Что с проблемой?

Цитата:
Цитата SwanHearts
По локальной сети могу повторно заразится? »
Если будете проявлять неосторожность, то можете...

SwanHearts 09-04-2012 16:40 1896386
Прикрепил. По ссылкам не переходит, пришлось их редактировать (относительно загрузки и Adobe Reader отказался устанавливаться).

Warrior Kratos 09-04-2012 17:11 1896416
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Паша\Главное меню\Программы\Автозагрузка\AdobeUpdater.lnk','');
 DeleteFile('C:\Documents and Settings\Паша\Главное меню\Программы\Автозагрузка\AdobeUpdater.lnk');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Паша^Главное меню^Программы^Автозагрузка^AdobeUpdate.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Повторите лог RSIT.

Цитата:
Цитата SwanHearts
По ссылкам не переходит, пришлось их редактировать (относительно загрузки и Adobe Reader отказался устанавливаться). »
Вот рабочие ссылки
http://www.oszone.net/go.php?url=htt...&host=java.com
http://www.oszone.net/go.php?url=htt...be.com/reader/

SwanHearts 10-04-2012 10:31 1896891
Здравствуйте. Прикрепил файл. По ссылкам не переходит, а точнее не идет перенаправление с вашего сайта.
По следующему компьютеру писать в эту тему или новую создать?

regist 10-04-2012 11:14 1896914
Цитата:
Цитата SwanHearts
По следующему компьютеру писать в эту тему или новую создать? »
создать новую тему.

Цитата:
Цитата SwanHearts
Здравствуйте. Прикрепил файл. »
карантин не надо прикреплять к теме, удалите его. Карантин надо отправлять с помщью этой http://www.oszone.net/virusnet/ формы
Цитата:
Цитата Warrior Kratos
Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме. »

SwanHearts 10-04-2012 11:22 1896922
regist, Здравствуйте, виноват, исправлюсь.


Время: 04:51.

Время: 04:51.
© OSzone.net 2001-