spool.exe, ftpdll.dll, ntos.exe и прочая пакость

**sTrIKer** · 07.09.2008, 12:38

Доброго времени суток, проблема в вышеназваных файлах, плю постоянно при каждом запуске какого либо приложения проскакивает cmd-окно...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 07.09.2008, 12:51

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 QuarantineFile('C:\Documents and Settings\Misha\Local Settings\Application Data\spool.exe','');
 DeleteService('Winyf17');
 DeleteService('Winxe52');
 DeleteService('Winwe85');
 DeleteService('Winry63');
 DeleteService('Winry28');
 DeleteService('Winqw06');
 DeleteService('Winms85');
 DeleteService('Winjp41');
 DeleteService('Winhn63');
 DeleteService('Winhn17');
 DeleteService('Wingm06');
 DeleteService('Wincj28');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
 DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincj28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingm06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhn17.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winhn63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winms85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winou63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winry28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winry63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwe85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxe52.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winyf17.sys');
 DeleteFile('C:\Documents and Settings\Misha\Local Settings\Application Data\spool.exe');
 DeleteFile('C:\WINDOWS\system32\blphc9paj0en6c.scr');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**sTrIKer** · 07.09.2008, 13:32

все выполнил. карантин загрузил, но пароль перепутал и вбил в руской расскладке

вроде слегка полегчало, но НОД и АВЗ все равно при скане памяти чегойто находят.

**V_Bond** · 07.09.2008, 13:35

интересно что может находить отключенный антивирус ? или вы правила не читали ?
пуск - выполнить sfc /scannow (понадобится диск с дистрибутивом)
затем новые логи ...

**sTrIKer** · 07.09.2008, 13:49

у меня нод в автозагрузке, по условиям скрипта после его выполненния машина ребутится, и при загрузке нод опять всплывает и начинает шушршать... вот сразу после перезагрузки амон выдал мне что инфицировано 4 файла (2 из них радмин).

**Rene-gad** · 07.09.2008, 13:57

1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. Перегрузить систему, далее по тексту.

**sTrIKer** · 07.09.2008, 14:04

что за команда sfc /scannow? ни через пуск-выполнить, ни через cmd не выполняется.

**Rene-gad** · 07.09.2008, 14:06

Сообщение от sTrIKer

что за команда sfc /scannow?

http://support.microsoft.com/?scid=k...0747&x=12&y=12

**sTrIKer** · 07.09.2008, 18:23

вот логи после выключеной автозагрузки

**V_Bond** · 07.09.2008, 18:33

проверка целостности системных файлов (sfc /scannow) выполнялась ?

**sTrIKer** · 07.09.2008, 18:59

нет не проверялась, у меня нет дистриба, а через пуск-выполнить команда не выполняется

**V_Bond** · 07.09.2008, 20:20

Сообщение от sTrIKer

нет не проверялась, у меня нет дистриба,

ищите ... можно попробовать установить сразу сп 3 но не советую...

Сообщение от sTrIKer

а через пуск-выполнить команда не выполняется

это как ? если нет дистрибутива конечно ... не выполнится

**sTrIKer** · 07.09.2008, 20:34

не дождавшись вашего совета успел установить сп3

ща вроде все работает но до повторной проверки авз еще руки не дошли.

**CyberHelper** · 22.02.2009, 07:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\misha\\local settings\\application data\\spool.exe - Trojan-Downloader.Win32.Agent.nmi (DrWEB: BackDoor.FireOn.10)
2. c:\\windows\\system32\\braviax.exe - Hoax.Win32.Renos.vbbl (DrWEB: Trojan.Packed.612)
3. c:\\windows\\system32\\drivers\\ctfmon.exe - Trojan-Downloader.Win32.Agent.nmi (DrWEB: BackDoor.FireOn.10)
4. c:\\windows\\system32\\lsass.exe - Trojan.Win32.Patched.cx
5. c:\\windows\\system32\\spoolsv.exe - Trojan.Win32.Patched.cx
6. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225)

spool.exe, ftpdll.dll, ntos.exe и прочая пакость (заявка № 29729)

Опции темы

spool.exe, ftpdll.dll, ntos.exe и прочая пакость

Итог лечения

Похожие темы

Пакость засела в Opera

пакость

ftpdll.dll, internet32.exe, spool.exe - помогите

Помогите, пожалуйста, с spool.exe, ctfmon.exe, ftpdll.dll

Пакость от www.ru.errorsafe.com

Ваши права в разделе