Вирус img001.exe

[Saiberex]

По сети постоянно бегают вирус img001

создаёт папки admin, Administrator, по имени компа, по имени пользователя. В каждой из этих папок по пути (AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\img001.exe) еще по вирусу.

Антивирусник их видит, зачищает, и через какое-то время они опять возникают.

Причем, на каких-то машинах он их просто удаляет, а на каких-то требует перезагрузку по 20 раз на дню.

Каспер определяет их как Trojan.NSIS.Agent.pf
Куда копать?

 

Версия антивируса

Kaspersky Endpoint Security 10 10.2.5.3201 (mr3)

CollectionLog-2017.06.05-12.53.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe', '');
 QuarantineFile('C:\Windows\All Users\Start Menu\Programs\StartUp\IMG001.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\IMG001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe', '32');
 DeleteFile('C:\Windows\All Users\Start Menu\Programs\StartUp\IMG001.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\IMG001.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall Tool\Uninstall Tool on the Web.lnk
C:\Program Files (x86)\Uninstall Tool\utool.url
C:\Users\Saiberex\Desktop\X-Change 2.lnk
C:\Users\Saiberex\Desktop\Slave Pageant.LNK
C:\Users\popov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Your Product\AVS Document Converter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU\AVS4YOU Software Navigator.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU\AVS Update Manager.lnk
C:\Users\Saiberex\Desktop\Secret Viwes.lnk
C:\Users\popov\Desktop\Флешка\CD\CD54\Входное тестирование.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\Uninstall R-Studio.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU\Documents\AVS Document Converter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\NVIDIA Photoshop Plug-ins 64 bit\License.lnk
C:\Users\popov\Links\Bitrix24.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black & White 2\Readme v1.2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black & White 2\Readme v1.1.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heart De Roommate\Heart De Roommate.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heart De Roommate\Деинсталлировать Heart De Roommate.lnk
C:\Users\popov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (Disabled by AnVir)\MP3 Dancer.lnk

 

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

+ закройте доступ к общим ресурсам хотя бы под пароль.

Изменено 5 июня, 2017 пользователем regist

[Saiberex]

Ну, мне это поможет, наверное, а что делать с остальными 500стами компами в сети? С каждым такую процедуру проводить? А потом по второму кругу, потом по третьему...

[regist]

 

 

А потом по второму кругу, потом по третьему...

Читайте внимательно

 

 

закройте доступ к общим ресурсам хотя бы под пароль.

 

Или что вы от меня хотите? Чтобы произнёс волшебное заклинание, которое разом вылечит все ваши компы?

+ обновления безопасности все стоят?