-
Junior Member
- Вес репутации
- 54
Autorun.inf Win32/Tifaut.C Червь. (На трёх компах)
Добрый день вот каждый раз при работе с влешек (их 3 и компа на работе тоже 3) появилась такая зараза F:\autorun.inf изолирован удалён Win32/Tifaut.C червь Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\csrcs.exe.
Щаз включил скрытые и системные файлы и увидел такую картину скрин выложу а сканер нода удалил вот что
F:\autorun.vbs VBS/Small.K вирус
F:\autorun.reg VBS/Small.K вирус и
F:\autorun.exe Win32/Sality.NAS вирус
и такой на трёх компах и трёх влешках которыми на этих компах пользуются
флешки то можно форматнуть но зараза наверное в компах
вот логи первого компа
Буду Благодарен за помощь
и если можно то я сразу выложу карантин пока на работе интернет есть.
Последний раз редактировалось Riddick; 18.03.2010 в 09:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено --- Отключить.
Профиксить:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svcshell.exe','');
QuarantineFile('c:\windows\system32\soih.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи после перезагрузки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
PavelA,всё сделал вот логи, а для остальных компов справедливо этот скрипт или надо исследования свои делать
Последний раз редактировалось Riddick; 18.03.2010 в 09:44.
-
Для других компьютеров "отдельная палата", т.е. тема.
Карантин пришлите. Там одного вроде не добил.
Автозапуск с флешек желательно отключить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
PavelA
"отдельная палата", т.е. тема.
даже если проблема аналогична?
Карантин высылаю
-
Проблема м.б. и одна, а довески разные.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
понял спасибо завтра другой комп выложу в новой теме а что там по последнему карантину?
-
Junior Member
- Вес репутации
- 54
По данному компу проблема решена.
Спасибо огромное.
-
Сейчас взгляну на итоги карантина, вчера из дома времени не было посмотреть.
Worm.Win32.AutoIt.tc
Trojan-Downloader.Win32.AutoIt.lj -- \soih.exe
Adware.Siggen.2945 (Др.Веб) -- svcshell.exe (его еще добить надо).
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\svcshell.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось Riddick; 18.03.2010 в 09:44.
-
Вот теперь с этим компьютером все. Не забывайте ставить заплатки на систему и все будет хорошо
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
PavelA, а я вот с другого заражённого компа через флешку сюда переноошу карантин и логи, НОД32 иногда вылавливает с флешки авторан и в свой карантин его помещает (я понимаю что вопрос глуповато звучит но насколько это безопасно) дело в том что инет только на одном компе, перед последними логами в которых как Вы говорите всё чисто флешку вставлял и авторан выловился _ значит безопасно?
Спасибо за ответ
-
Автозапуск флешек отключен? если нет, отключите через Мастер решения проблем
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Gen:Trojan.Heur.AutoIT.Nq3@buoVHmcO )
- c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc ( DrWEB: Win32.HLLW.Autohit.11713, BitDefender: Gen:Trojan.Heur.AutoIT.2q3@b4GdXOeO )
- c:\windows\system32\soih.exe - Trojan-Downloader.Win32.AutoIt.lj ( DrWEB: Win32.HLLW.Texmer.385, BitDefender: Backdoor.Generic.270669 )
- c:\windows\system32\svcshell.exe - Trojan.Win32.Autoit.aeh ( DrWEB: Adware.Siggen.2945 )
-