INF/Autorun.gen троян

[Xrobak]

NOD32: AMON - сканер по доступу

Сведения о тревоге
файл:
C:\WINDOWS\system32\autorun.inf

Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\csrcs.exe. Файл был перемещен в карантин.

[gjf]

Пофиксите в HiJackThis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ziet.zt.ua
O17 - HKLM\Software\..\Telephony: DomainName = ziet.zt.ua
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ziet.zt.ua
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ziet.zt.ua

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('linkdel.cmd','');
 QuarantineFile('C:\WINDOWS\system32\SysUdisk.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\romdrivers.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\irenum.sys','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('C:\Program Files\Internet Explorer\romdrivers.dll');
 DeleteFile('C:\WINDOWS\system32\SysUdisk.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.