Показано с 1 по 15 из 15.

Autorun.inf Win32/Tifaut.C Червь. (На трёх компах) (заявка № 73640)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32

    Thumbs up Autorun.inf Win32/Tifaut.C Червь. (На трёх компах)

    Добрый день вот каждый раз при работе с влешек (их 3 и компа на работе тоже 3) появилась такая зараза F:\autorun.inf изолирован удалён Win32/Tifaut.C червь Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\csrcs.exe.
    Щаз включил скрытые и системные файлы и увидел такую картину скрин выложу а сканер нода удалил вот что
    F:\autorun.vbs VBS/Small.K вирус
    F:\autorun.reg VBS/Small.K вирус и
    F:\autorun.exe Win32/Sality.NAS вирус
    и такой на трёх компах и трёх влешках которыми на этих компах пользуются

    флешки то можно форматнуть но зараза наверное в компах

    вот логи первого компа

    Буду Благодарен за помощь

    и если можно то я сразу выложу карантин пока на работе интернет есть.
    Последний раз редактировалось Riddick; 18.03.2010 в 09:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Восстановление системы: включено --- Отключить.
    Профиксить:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\svcshell.exe','');
     QuarantineFile('c:\windows\system32\soih.exe','');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи после перезагрузки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32
    PavelA,всё сделал вот логи, а для остальных компов справедливо этот скрипт или надо исследования свои делать
    Последний раз редактировалось Riddick; 18.03.2010 в 09:44.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Для других компьютеров "отдельная палата", т.е. тема.
    Карантин пришлите. Там одного вроде не добил.
    Автозапуск с флешек желательно отключить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32
    Цитата Сообщение от PavelA Посмотреть сообщение
    "отдельная палата", т.е. тема.
    даже если проблема аналогична?
    Карантин высылаю

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Проблема м.б. и одна, а довески разные.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32
    понял спасибо завтра другой комп выложу в новой теме а что там по последнему карантину?

  9. #8
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32
    По данному компу проблема решена.
    Спасибо огромное.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Сейчас взгляну на итоги карантина, вчера из дома времени не было посмотреть.
    Worm.Win32.AutoIt.tc
    Trojan-Downloader.Win32.AutoIt.lj -- \soih.exe
    Adware.Siggen.2945 (Др.Веб) -- svcshell.exe (его еще добить надо).

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\windows\system32\svcshell.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторить логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32
    Скрипт выполнил вот логи
    Последний раз редактировалось Riddick; 18.03.2010 в 09:44.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Вот теперь с этим компьютером все. Не забывайте ставить заплатки на систему и все будет хорошо
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32
    PavelA, а я вот с другого заражённого компа через флешку сюда переноошу карантин и логи, НОД32 иногда вылавливает с флешки авторан и в свой карантин его помещает (я понимаю что вопрос глуповато звучит но насколько это безопасно) дело в том что инет только на одном компе, перед последними логами в которых как Вы говорите всё чисто флешку вставлял и авторан выловился _ значит безопасно?
    Спасибо за ответ

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Автозапуск флешек отключен? если нет, отключите через Мастер решения проблем
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    68
    Вес репутации
    32
    отключён

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Gen:Trojan.Heur.AutoIT.Nq3@buoVHmcO )
      2. c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc ( DrWEB: Win32.HLLW.Autohit.11713, BitDefender: Gen:Trojan.Heur.AutoIT.2q3@b4GdXOeO )
      3. c:\windows\system32\soih.exe - Trojan-Downloader.Win32.AutoIt.lj ( DrWEB: Win32.HLLW.Texmer.385, BitDefender: Backdoor.Generic.270669 )
      4. c:\windows\system32\svcshell.exe - Trojan.Win32.Autoit.aeh ( DrWEB: Adware.Siggen.2945 )


  • Уважаемый(ая) Riddick, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. autorun.i Win32/Tifaut.C csrcs.exe.
      От hazya в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.09.2011, 15:11
    2. Win32/Tifaut.C червь
      От MaXDrAiV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.02.2011, 16:01
    3. Win32/Tifaut.C червь autorun.i
      От teofast в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.11.2010, 16:06
    4. autorun.i - Win32/Tifaut.C червь
      От eug@vectra в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.10.2010, 13:18
    5. Ответов: 11
      Последнее сообщение: 20.03.2010, 12:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01183 seconds with 16 queries