-
Junior Member
- Вес репутации
- 54
Autorun.inf Win32/Tifaut.C Червь. (На трёх компах)(Комп второй)
Добрый день вот каждый раз при работе с влешек (их 3 и компа на работе тоже 3) появилась такая зараза F:\autorun.inf изолирован удалён Win32/Tifaut.C червь Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\csrcs.exe.
флешку пока возможности форматнуть нет
вот логи
Буду Благодарен за помощь
Последний раз редактировалось Riddick; 18.03.2010 в 09:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6b11c544.exe,\\?\globalroot\systemroot\system32\ZFoHgqF.exe,
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('\\?\globalroot\systemroot\system32\ZFoHgqF.exe','');
QuarantineFile('C:\WINDOWS\system32\6b11c544.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\6b11c544.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ZFoHgqF.exe');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteRepair(20);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи.
Прислать каранин.
З.Ы. Сравните скрипты этот и для первого больного и увидите отличия.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
PavelA, скрипт выполнил вот логи и карантин
Последний раз редактировалось Riddick; 19.03.2010 в 09:38.
-
- архивы "virusinfo" битые... в логе HijackThis ничего явно зловредного не обнаружено
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 54
архивы выложу по позже, попозже, пока нет возможности
Спасибо за помощь
-
Junior Member
- Вес репутации
- 54
Вот пере залил логи после скрипта PavelA,так как первые логи были битые и карантин от 18 числа который относился к битым логам и от 19 который относится к пере залитым.
Спасибо большое за помощь.
Последний раз редактировалось Riddick; 16.07.2010 в 13:38.
-
В логах чисто. В лабораторию ушел один новый экземпляр малваре.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
PavelA,
Сообщение от
PavelA
В лабораторию ушел один новый экземпляр малваре.
Это в карантине было? в первом или втором?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
PavelA, авторана нет больше вопрос можно считать закрытым?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc ( DrWEB: Win32.HLLW.Autohit.11713, BitDefender: Gen:Trojan.Heur.AutoIT.2q3@b4GdXOeO )
- c:\windows\system32\6b11c544.exe - Trojan-Dropper.Win32.Agent.bttz ( DrWEB: Trojan.Packed.19720, AVAST4: Win32:Malware-gen )
- \\?\globalroot\systemroot\system32\zfohgqf.exe - Trojan.Win32.Pakes.nzf ( DrWEB: Trojan.Packed.19720, BitDefender: Trojan.Generic.3551938, NOD32: Win32/Spy.Shiz.NAJ trojan, AVAST4: Win32:Spyware-gen [Spy] )
-