Junior Member
Вес репутации
59
ftpdll.dll не удаляется
Здравствуйте! Прошу помочь. При включении компьютера выскакивает сообщение о том что Windows не может найти файл ntndis.exe, а потом открываются два окна проводника Application data и Microsoft. Файл ntndis.exe я удалил ранее т.к. при включении выскакивала ошибка. При проверке на вирусы программой DrWeb был обнаружен и удален файл ftpdll.dll. После перезагрузки все повторяется: сообщение, окошки и вирус там же где и был.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe');
BC_ImportAll;
BC_DeleteSvc('Schedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19800
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\gasanalizade.KZN062\Local Settings\Application Data\
Повторите логи
Junior Member
Вес репутации
59
Пофиксить строчки:
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
не удалось ввиду их отсутствия в списке.
Вложения
Все в порядке, только выполните еще вот этот скриптик:
Код:
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'autoload');
RebootWindows(true);
end.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 14.03.2008 в 15:57 .
I am not young enough to know everything...
Junior Member
Вес репутации
59
Большое спасибо. К сожалению скриптик:
Код:
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'autoload');
RebootWindows(true);
end
выполнить не удалось пишет ошибку
Ошибка: '.' expected в позиции 5:1
Исправил. Точки в конце не хватало
I am not young enough to know everything...
Junior Member
Вес репутации
59
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.ft (DrWEB: BackDoor.FireOn)