В tapi.nfo вирус?

[sobor422]

Здравствуйте.
Сегодня антивир началл реагировать на tapi.nfo, предлагая "запретить доступ".

Система: AMD Athlon(TM) XP 2000+, Windows XP SP3 Lacost Edition v9.08.06, Avira Antivir Personal v9.0.0.394, Comodo Firewall v2.4.19.185.

Последовательность действий по инструкции:
1). Полная проверка антивирусом. Вот, что в результате попало в карантин:
C:\Documents and Settings\ТСВ\Local Settings\Temp\4FF.tmp
[DETECTION] Is the TR/Dldr.Small.anfh.8 Trojan
C:\Documents and Settings\ТСВ\Local Settings\Temp\Totalcmd\Totalcmd.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
C:\Program Files\Total Commander\Plugins\wlx\SWFView\SWFView.wlx
[DETECTION] Contains recognition pattern of the WORM/Autorun.agep worm
C:\WINDOWS\system32\tapi.nfo
[DETECTION] Is the TR/Dldr.Small.anfh.8 Trojan
C:\WINDOWS\system32\CPLDAPU\ProduKey.exe
[DETECTION] Contains recognition pattern of the SPR/Tool.ProdKey.1 program
2). Проверка AVPTool показала "чисто".
3). Результаты скриптов AVZ и HiJackThis прилагаются.

При загрузке компьютера теперь появляется сообщение: "RUNDLL: Ошибка при загрузке tapi.nfo. Не найден указанный модуль".

Как быть с tapi.nfo? И чем могут быть остальные файлы в карантине?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tapi.nfo','');
DeleteFile('C:\WINDOWS\system32\tapi.nfo');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[sobor422]

Карантин и логи готовы.

[thyrex]

Ничего подозрительного. Что с проблемой?

[sobor422]

Сообщение об отсутствии tapi.nfo при загрузке не появляется, Avira молчит.
Спасибо.
А как быть сотальными файлами в карантине? Можно ли некоторые из них восстановить и записать в искдючения?

[NickGolovko]

Пришлите по правилам вот эти файлы:

c:\program files\internet explorer\iexplore.exe
c:\windows\wallpaperchanger.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Download Master\dmaster.exe
C:\WINDOWS\System32\DRIVERS\cmdmon.sys

На всякий случай стоит на них посмотреть поближе.

[sobor422]

Карантин готов, только в нем C:\WINDOWS\System32\DRIVERS\cmdmon.sys не было, а есть другие из system32.
Сообщите, какие можно будет восстановить и, повторюсь, как быть с другими (кроме tapi.nfo) в карантине антивируса (см. первый пост)?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены