Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   прошу помощи (NOD32 видиит Tifaut.c) (http://forum.oszone.net/showthread.php?t=191531)

kot_13 18-11-2010 02:38 1545367
прошу помощи (NOD32 видиит Tifaut.c)
 
Вложений: 1
Каждый раз когда вставляю флешку НОД выдает сообщение win32/Tifaut.c червь очищен удалением.
Когда носитель вынимается и ставится обратно выскакивает тоже сообщение.
При этом с флешки невозможно ничего удалить (в атрибутах папок стоит "только чтение").
Когда снимаю галочку (меняю атрибуты папок), пробую удалять - виснет explorer

Заранее благодарен!

zirreX 18-11-2010 17:55 1545786
Здравствуйте!

PCHDPlayer - ваша прога?

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.
• Пофиксить в hijackthis
Поставить галочки напротив указанных строк и нажать Fix Cheked
Код:
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

• Советую отключить автозапуск со всех съемных носителей, кроме CD-DVD приводов, для этого выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
\Explorer','NoDriveTypeAutoRun',223);
end.
Скачайте Dr.Web Cureit
Подключите флешку к компьютеру и просканируйте её при помощи Cureit. После окончания сканирования не вынимая флешку подготовьте логи AVZ и RSIT
На время сканирования Cureit выключите Nod32

kot_13 19-11-2010 15:24 1546474
Вложений: 2
При сканировании Cureit нашел autoran.inf, сказал что это Win32.HLLW.Autoruner.corrupted. Предложил только один вариант - перемещение (может так и надо, я не знаю - ранее cureit не пользовался). После сканирования я win32/Tifaut.c удалил. Теперь, когда вставляю флэшку, НОД32 также выкидывает сообщение.
Файлы удалить все также не могу. При форматировании - виснет explorer. Пробовал чистить флешку у друга на Suse Linux и у себя на ДОС - файлы "удалились", записать ничего не удалось, а в винде все файлы опять на месте. Пробовал чистить при помощи Flash Memory Toolkit - на 95% виснет Memory Toolkit. А помимо всего при создании логов заметил что у меня сканируется папка C:\Program Files\Opera, хотя у меня ее и быть не должно (я пользуюсь Мазилой). Попробовал удалить, в ответ сообщение (Untitled-2.jpg). В самой папке только 2 файла opera.exe и operaprefs_default.ini.

kot_13 19-11-2010 15:29 1546477
Забыл: Когда я пробую посмотреть свойства диска G (он же флеш) то комп долго тормозит (примерно 5 мин) потом выдает свойства: объем-0, занято-0, свободно-0. Потом диск носителя исчезает.

PCHDPlayer установился сам когда я искал где можно скачать RSIT. Но эту прогу яуже удалил.

zirreX 19-11-2010 17:08 1546563
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\6EDA~1\AppData\Local\Temp\Gu74pb00.sys','');
DeleteFile('C:\Users\6EDA~1\AppData\Local\Temp\Gu74pb00.sys');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFileMask('C:\pchd','*.*', true);
DeleteDirectory('C:\pchd');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PCHDPlayer');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Gu74pb00');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Повторите логи.

kot_13 21-11-2010 01:52 1547558
Вложений: 2
Результаты с quarantine@virusnet.info пока не пришли

zirreX 21-11-2010 02:22 1547566
Удалите в MBAM

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Зараженные файлы:
C:\ProgramData\HoBo-Group\HoBo-Group.exe (Trojan.FakeAlert) -> No action taken.

Что с проблемой?

kot_13 21-11-2010 09:56 1547667
Удалил, сразу после сканирования - проблема осталась

zirreX 21-11-2010 16:50 1547929
Отключите восстановление системы!

- нажмите кнопку Пуск
- нажмите правой кнопкой мыши на пункте меню Компьютер
- в контекстном меню выберите пункт Свойства
- в левой части окна Система выберите пункт меню Защита системы
- в окне Свойства системы перейдите на закладку Защита системы
- в блоке Параметры защиты нажмите на кнопку Настроить
- в окне Защита системы для... отметьте пункт Отключить систему защиты
- нажмите кнопку ОК
- в окне подтверждения Защита системы нажмите кнопку Да
- для завершения отключения возможности восстановления системы в окне Свойства системы нажмите кнопку ОК
- перезагрузите компьютер


c:\windows\explorer.exe - проверьте на www.virustotal.com и дайте ссылку с результатом проверки.

thyrex 22-11-2010 09:15 1548366
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe


Время: 08:27.

Время: 08:27.
© OSzone.net 2001-