-
Junior Member
- Вес репутации
- 60
Неубиваемый msftp.dll и вирус Win32:Small-JMK в нём
AVAST обнаруживает его после загрузки компа в c:\windows\system32... удаляет... он появляется один раз снова в c:\windows\system32, AVAST его опять удаляет, затем он тут же восстанавливается НО уже в Local Settings, и опять 2 раза, затем не появляется до следующей перезагрузки компьютера.
Не выводится ничем.
HELP !!!!!
Последний раз редактировалось dimbmw; 02.06.2008 в 11:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('c:\windows\vm305_sti.exe','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
DeleteFile('c:\windows\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteService('protect');
DeleteService('Schedule');
DeleteService('Microsoft P2P2 Service');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Ваш антивирус не обеспечивает должного уровня защиты. Если есть возможность, используйте один из рекомендованных нами продуктов.
-
-
Junior Member
- Вес репутации
- 60
Скрипт выполнил. Вроде msftp.dll перестал загружаться
Карантин загрузил.
Логи прилагаю.
Всё равно остаётся смутное ощущение что победа не полная....
Файл cftmon.exe лежит также и в другой папке, помимо той, из которой его удалил скрипт.
А при запуске компа, когда уже загрузились почти, если быстренько включить FAR, то в командной строке возникает много раз повторяющееся слово testtesttesttest = я до клавы при этом не дотрагиваюсь разумеется.
Последний раз редактировалось dimbmw; 02.06.2008 в 11:31.
-
Выполните скрипт в AVZ
Код:
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
-
-
В логах чисто (за исключением того FCI ).
Файл cftmon.exe лежит также и в другой папке
Удалите его.
в командной строке возникает много раз повторяющееся слово testtesttesttest
Это проделки AVZ. Выполните Стандартный скрипт #6.
IMHO, стоит подумать о замене Аваста на что-нибудь более серьезное.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Maxim
Выполните скрипт в AVZ
Код:
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
В процессе выполнения обнаружился вирус C:\WINDOWS\system32\Drivers\vdm3nzux.sys
логи сейчас
-
Сообщение от
dimbmw
В процессе выполнения обнаружился вирус C:\WINDOWS\system32\Drivers\vdm3nzux.sys
логи сейчас
Это не вирус, а драйвер AVZ.
-
-
Junior Member
- Вес репутации
- 60
Последние логи - посмотрите пожалуйста
Последний раз редактировалось dimbmw; 02.06.2008 в 11:31.
-
Junior Member
- Вес репутации
- 60
Сообщение от
Bratez
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Я бы сделал с удовольствием это, если бы кто-то объяснил КАК
-
Вам знаком C:\WINDOWS\VM305_STI.EXE ?
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Maxim
Вам знаком C:\WINDOWS\VM305_STI.EXE ?
Кажется это от web-камеры
Добавлено через 3 минуты
Посмотрите пожалуйста послединие логи (3-мя постами выше) - чисто ?
Последний раз редактировалось dimbmw; 12.02.2008 в 14:32.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Maxim
Чисто.
Спасибо.
Уже сразу проверяю второй компьютер - строчка смутила:
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll
Полный файл приложен.
Посмотрите плиз.
Последний раз редактировалось dimbmw; 02.06.2008 в 11:31.
-
Для каждого компьютера своя тема, что бы мы не путались.