Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] помогите побороть( по NOD32 возможно Win32/Tifaut.C) (http://forum.oszone.net/showthread.php?t=168709)

Drudok 27-02-2010 15:43 1357436
помогите побороть( по NOD32 возможно Win32/Tifaut.C)
 
Вложений: 1
наблюдаю : после перезагрузки компа журнал браузера очищен, адресная строка очищена.
при работе в браузере периодически всплывают странички с иероглифами ( может китайский\японский)

при подключении флешки или фотика с автораном сигналит НОД 32 о выше упомянутом черве.

в System 32 замечено наличие посторонних папок например папка: 75A55D

Действия: отключил автозагрузку и при работе с CureIt в безопасном режиме при быстром сканировании было найдено пару инфицированных файлов и удалено программой. При последующем запуске полной проверки всех дисков в процесс находились подозрительные файлы , но приблизительно на 70 % сканирования появился "экран смерти" и комп загрузился в обычный режим.

thyrex 27-02-2010 18:36 1357544
Пофиксить в РшОфсл
Код:
R3 - URLSearchHook: shell32.dll -  - (no file)
O4 - S-1-5-18 Startup: A5A24C.lnk = C:\WINDOWS\system32\630119\D0D750.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: F85077.lnk = C:\WINDOWS\system32\75A55D\211629.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: A5A24C.lnk = C:\WINDOWS\system32\630119\D0D750.EXE (User 'Default user')
O4 - .DEFAULT Startup: F85077.lnk = C:\WINDOWS\system32\75A55D\211629.EXE (User 'Default user')
O4 - Startup: A5A24C.lnk = C:\WINDOWS\system32\630119\D0D750.EXE
O4 - Startup: F85077.lnk = C:\WINDOWS\system32\75A55D\211629.EXE
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\WINDOWS\system32\75A55D\211629.EXE','');
 QuarantineFile('C:\WINDOWS\system32\630119\D0D750.EXE','');
 DeleteFile('C:\WINDOWS\system32\630119\D0D750.EXE');
 DeleteFile('C:\WINDOWS\system32\75A55D\211629.EXE');
DeleteFileMask('C:\WINDOWS\system32\630119', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\630119');
DeleteFileMask('C:\WINDOWS\system32\75A55D', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\75A55D');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Drudok 28-02-2010 11:10 1357957
Все выполнил ждем Ответы Касперского.
К инфицированному компу подключался цифровой фотик, как я понимаю он тоже инфицирован - как почистить фотик? Форматирования памяти фотика нет функции.. СПС

да и вот еще.В папке System32 есть папки
например имя:
05FCBF (какой то текстовый документ 1c1326
9F875C пустая
9B92D9 файлы типа "RSC_TMP" и "FNE"
скажите что это может быть СПС -))

Drudok 28-02-2010 20:33 1358290
ответ пока такой:


Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini

Файлы в процессе обработки.


логи пока сделать не могу Этого компа рядом нет

thyrex 28-02-2010 21:53 1358351
Цитата:
Цитата Drudok
В папке System32 есть папки
например имя:
05FCBF (какой то текстовый документ 1c1326
9F875C пустая
9B92D9 файлы типа "RSC_TMP" и "FNE" »
Тоже мусор. Удаляйте вручную, но осторожно - не перестарайтесь в запале

Drudok 08-03-2010 13:13 1363531
Вложений: 1
новые логи Вот
все вроде работает нормально лишних процессов не наблюдаю
А поддержка Касперского ниче не ответил еще.

Drudok 10-03-2010 22:37 1365671
посмотрите пожалуйста вложения . ПРОБЛЕМУ можно считать решенной?? визуально Железо работает без глюков

thyrex 10-03-2010 23:06 1365696
Плохого не видно

Установите Internet Explorer 8

Drudok 11-03-2010 21:40 1366489
thyrex, СПС за помощь. ПРОБЛЕМА снята.


Время: 12:13.

Время: 12:13.
© OSzone.net 2001-