-
Junior Member
- Вес репутации
- 59
spools.exe - помогите добить хвост от ftpdll.dll
Все вроде сделал по правилам. Восстановление отключил. Все всем почистил.
ftpdll.dll - убил вроде. (с ним изначально и боролся, найдя по ходу еще несколько троянов)
Но остался хвост spools.exe, который не фиксится и не убивается через реестр.
При загрузке его блокирует сейчас ad-watch, поэтому вирусы вроде подавлены и работать не мешают, но что-то осталось. И может вылезти снова. Вопрос что...
Помогите добить зверя...
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
деинсталируйте Ad-Aware
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\System32\yatool.dll','');
BC_DeleteSvc('Kvg54');
QuarantineFile('E:\WINDOWS\System32\Drivers\Kvg54.sys','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('E:\WINDOWS\system32\drivers\spools.exe','');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('E:\WINDOWS\System32\Drivers\Kvg54.sys');
DeleteFile('E:\WINDOWS\System32\yatool.dll');
DeleteFile('E:\WINDOWS\system32\WLCtrl32.dll');
DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пофиксите ...
Код:
O20 - Winlogon Notify: WLCtrl32 - E:\WINDOWS\SYSTEM32\WLCtrl32.dll
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 59
После перезагрузки spools.exe лезет в реестр. Его блокировать ad-watch-ем или пропустить?
-
Ad-Aware- деинсталировать ( первая строчка мого предыдущего поста).... он только мешает
не вижу новых логов ....
-
-
Junior Member
- Вес репутации
- 59
-
Junior Member
- Вес репутации
- 59
логи
пофиксил.
логи прикреплены
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
-
Junior Member
- Вес репутации
- 59
карантин забыл прицепить...
карантин
А карантин не сюда. Для него отдельная ссылка на закачку есть - поднимите глаза, она одна такая красная.
Добавлено через 14 минут
прицепил. сорри проглядел инструкцию
Последний раз редактировалось ab777; 06.03.2008 в 02:00.
Причина: Добавлено
-
Все в порядке. Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Спасибо. Все чисто.
Службы опасные отключу сейчас.
Удачи!