В tapi.nfo вирус?

Printable View

11.09.2009, 17:59
sobor422

Вложений: 3

В tapi.nfo вирус?

Здравствуйте.
Сегодня антивир началл реагировать на tapi.nfo, предлагая "запретить доступ".

Система: AMD Athlon(TM) XP 2000+, Windows XP SP3 Lacost Edition v9.08.06, Avira Antivir Personal v9.0.0.394, Comodo Firewall v2.4.19.185.

Последовательность действий по инструкции:
1). Полная проверка антивирусом. Вот, что в результате попало в карантин:
[COLOR="RoyalBlue"]C:\Documents and Settings\ТСВ\Local Settings\Temp\4FF.tmp
[DETECTION] Is the TR/Dldr.Small.anfh.8 Trojan
C:\Documents and Settings\ТСВ\Local Settings\Temp\Totalcmd\Totalcmd.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
C:\Program Files\Total Commander\Plugins\wlx\SWFView\SWFView.wlx
[DETECTION] Contains recognition pattern of the WORM/Autorun.agep worm
C:\WINDOWS\system32\tapi.nfo
[DETECTION] Is the TR/Dldr.Small.anfh.8 Trojan
C:\WINDOWS\system32\CPLDAPU\ProduKey.exe
[DETECTION] Contains recognition pattern of the SPR/Tool.ProdKey.1 program[/COLOR]
2). Проверка AVPTool показала "чисто".
3). Результаты скриптов AVZ и HiJackThis прилагаются.

При загрузке компьютера теперь появляется сообщение: "RUNDLL: Ошибка при загрузке tapi.nfo. Не найден указанный модуль".

Как быть с tapi.nfo? И чем могут быть остальные файлы в карантине?
11.09.2009, 18:02
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tapi.nfo','');
DeleteFile('C:\WINDOWS\system32\tapi.nfo');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
11.09.2009, 18:46
sobor422

Вложений: 3

Карантин и логи готовы.
11.09.2009, 18:50
thyrex

Ничего подозрительного. Что с проблемой?
11.09.2009, 18:54
sobor422

Сообщение об отсутствии tapi.nfo при загрузке не появляется, Avira молчит.
Спасибо.
А как быть сотальными файлами в карантине? Можно ли некоторые из них восстановить и записать в искдючения?
11.09.2009, 19:03
NickGolovko

Пришлите по правилам вот эти файлы:

c:\program files\internet explorer\iexplore.exe
c:\windows\wallpaperchanger.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Download Master\dmaster.exe
C:\WINDOWS\System32\DRIVERS\cmdmon.sys

На всякий случай стоит на них посмотреть поближе.
11.09.2009, 19:23
sobor422

Карантин готов, только в нем C:\WINDOWS\System32\DRIVERS\cmdmon.sys не было, а есть другие из system32.
Сообщите, какие можно будет восстановить и, повторюсь, как быть с другими (кроме tapi.nfo) в карантине антивируса (см. первый пост)?
12.09.2009, 19:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]