Как полечится?

[leoshko_m]

Касперский переодически обнаруживает вредоносное ПО. IM-Win32.*.amv (*-не помню название). На сетевом диске постоянно вместо папок -появляюся exe. Эти exe-ики используются процессом System (процесс запушен от имени System). Путь от куда запускается этот процесс через утилиту Proces explorer-не предстовляется возможным. Как отследить от куда он запускается?

[Roman_Five]

leoshko_m,

добро пожаловать на форум.

Как отследить от куда он запускается?

внимательно прочитать и не спеша выполнить

http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

IM-Win32.*.amv (*-не помню название)

IM-Worm.Win32.Yahos.amv - такое?

если да, дополнительно к логам AVZ и Hijackthis приложите лог Gmer.

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

[leoshko_m]

Выполнил...

virusinfo_syscheck.zip

hijackthis.log

Для_форума.7z

[Roman_Five]

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

 

На сетевом диске постоянно вместо папок -появляюся exe

на расшаренном диске Вашего PC? тогда виновник - в локальной сети. необходимо проверить все подключённые к сети PC.

[leoshko_m]

выполнил....

mbam_log_2011_06_06__12_45_05_.txt

[Tiare]

leoshko_m,

 

удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Зараженные файлы:
c:\documents and settings\User\local settings\Temp\iingyvhhqqwabdc6912d.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\User\мои документы\polimed_client\start.exe (Trojan.Dropper.PGen) -> No action taken.

 

P.S. предварительно проверьте файл c:\documents and settings\User\мои документы\polimed_client\start.exe на virustotal, если заражение подтвердится, решайте сами, удалять вам его или нет.

 

+

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

+ если что-то из этого вам не нужно, то желательно отключить

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

 

обратите внимание

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешены терминальные подключения к данному ПК

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

 

Проблемы какие-то остались?