[решено] помогите побороть( по NOD32 возможно Win32/Tifaut.C)

thyrex · Конфигурация компьютера

Пофиксить в РшОфсл

Код:

R3 - URLSearchHook: shell32.dll -  - (no file)
O4 - S-1-5-18 Startup: A5A24C.lnk = C:\WINDOWS\system32\630119\D0D750.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: F85077.lnk = C:\WINDOWS\system32\75A55D\211629.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: A5A24C.lnk = C:\WINDOWS\system32\630119\D0D750.EXE (User 'Default user')
O4 - .DEFAULT Startup: F85077.lnk = C:\WINDOWS\system32\75A55D\211629.EXE (User 'Default user')
O4 - Startup: A5A24C.lnk = C:\WINDOWS\system32\630119\D0D750.EXE
O4 - Startup: F85077.lnk = C:\WINDOWS\system32\75A55D\211629.EXE

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\WINDOWS\system32\75A55D\211629.EXE','');
 QuarantineFile('C:\WINDOWS\system32\630119\D0D750.EXE','');
 DeleteFile('C:\WINDOWS\system32\630119\D0D750.EXE');
 DeleteFile('C:\WINDOWS\system32\75A55D\211629.EXE');
DeleteFileMask('C:\WINDOWS\system32\630119', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\630119');
DeleteFileMask('C:\WINDOWS\system32\75A55D', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\75A55D');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Drudok · Отправлено: **11:10, 28-02-2010** | #3

Все выполнил ждем Ответы Касперского.
К инфицированному компу подключался цифровой фотик, как я понимаю он тоже инфицирован - как почистить фотик? Форматирования памяти фотика нет функции.. СПС

да и вот еще.В папке System32 есть папки
например имя:
05FCBF (какой то текстовый документ 1c1326
9F875C пустая
9B92D9 файлы типа "RSC_TMP" и "FNE"
скажите что это может быть СПС -))

Drudok · Отправлено: **20:33, 28-02-2010** | #4

ответ пока такой:

Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini

Файлы в процессе обработки.

логи пока сделать не могу Этого компа рядом нет

thyrex · Конфигурация компьютера

Цитата Drudok:

В папке System32 есть папки
например имя:
05FCBF (какой то текстовый документ 1c1326
9F875C пустая
9B92D9 файлы типа "RSC_TMP" и "FNE" »

Тоже мусор. Удаляйте вручную, но осторожно - не перестарайтесь в запале

Drudok · Отправлено: **13:13, 08-03-2010** | #6

новые логи Вот
все вроде работает нормально лишних процессов не наблюдаю
А поддержка Касперского ниче не ответил еще.

Drudok · Отправлено: **22:37, 10-03-2010** | #7

посмотрите пожалуйста вложения . ПРОБЛЕМУ можно считать решенной?? визуально Железо работает без глюков

thyrex · Конфигурация компьютера

Плохого не видно

Установите Internet Explorer 8

Drudok · Отправлено: **21:40, 11-03-2010** | #9

thyrex, СПС за помощь. ПРОБЛЕМА снята.