-
Junior Member
- Вес репутации
- 56
spools.exe
Здравствуйте!При включении запускается 1 или 2 процесса spools.exe.При этом не работают значки в трее, виндоус медиа плеер и вроде бы отпревление лишних пакетов.При попытке убить червь самостоятельно чуть не положил систему, что делал: проверял антивирусом AVG, удалял из реестра ключи со spools.exe после чего не запускалось 99% программ, с ошибкой "файл не согласован с программой выполнения. Проведите согласование в "свойсвах папки". Пришлось использовать восстановление системы. Ситуация та же - висящий spools.exe в процессах, не работают значки в трее, виндоус медиа плеер и вроде бы отпревление лишних пакетов.Хотелосб бы попросить о помощи! Заранее спасибо!
Последний раз редактировалось thyrex; 14.02.2012 в 00:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Documents and Settings\Den1\Local Settings\Temp\STPE.tmp','');
QuarantineFile('E:\WINDOWS\system32\oembios.exe','');
QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('E:\Documents and Settings\den2\cftmon.exe','');
QuarantineFile('E:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe','');
DeleteService('mickey32');
QuarantineFile('E:\WINDOWS\system32\drivers\mickey32.sys','');
QuarantineFile('E:\WINDOWS\system32\drivers\docker19.sys','');
DeleteService('Schedule');
DeleteService('RpcLocatorMSDTC');
QuarantineFile('srv.exe','');
DeleteService('Google Online Services');
QuarantineFile('E:\Documents and Settings\den2\ie_updates3r.exe','');
TerminateProcessByName('e:\windows\system32\drivers\spools.exe');
QuarantineFile('e:\windows\system32\drivers\spools.exe','');
DeleteFile('e:\windows\system32\drivers\spools.exe');
DeleteFile('E:\Documents and Settings\den2\ie_updates3r.exe');
DeleteFile('srv.exe');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('E:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('E:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('E:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
DeleteFile('E:\Documents and Settings\den2\cftmon.exe');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
DeleteFile('E:\WINDOWS\system32\oembios.exe');
DeleteFile('E:\Documents and Settings\Den1\Local Settings\Temp\STPE.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 56
После выполнения данного скрипта не запускается ни одна программа кроме эксплорера, просит указать программу с помощью которой открыть exe файлы.
AVZ и HiJackthis смог запустить только после переименования последних в *.com файлы.
Карантин выслал.
Последний раз редактировалось thyrex; 14.02.2012 в 01:02.
-
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,E:\WINDOWS\system32\oembios.exe,
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('mickey32');
DeleteService('docker19');
DeleteService('Schedule');
DeleteService('RpcLocatorMSDTC');
DeleteService('Google Online Services');
DeleteFile('E:\Documents and Settings\den2\ie_updates3r.exe');
DeleteFile('srv.exe');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('E:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('E:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('E:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
DeleteFile('E:\Documents and Settings\den2\cftmon.exe');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
DeleteFile('E:\WINDOWS\system32\oembios.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Повторите логи по правилам.
Что с .exe файлами?
-
-
Junior Member
- Вес репутации
- 56
Exe. файлы по сути не запускались, появлялось окно для выбора программы запуска НО:
Выполнил указанные light59 действия (только в hijackthis не нашел данных строк, пофиксил все) и выполнил скрипт - вроде бы все заработало и spools.exe в процессах нет.
Большое спасибо!
PS
Логи все равно делать?
-
Ээээ... А что это вы там пофиксили?? 
Логи сделайте по-новой. Может ещё что-то осталось.
-
-
Junior Member
- Вес репутации
- 56
отметил все строки и нажал фикс
логи
Последний раз редактировалось thyrex; 14.02.2012 в 01:05.
-
Сообщение от
navy_seals
отметил все строки и нажал фикс
Не делайте так больше. Не пугайте дядю... 
Что с проблемами? По логам чистенько...
-
-
Junior Member
- Вес репутации
- 56
Пока все нормально, спасибо еще раз!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- e:\\documents and settings\\den2\\cftmon.exe - Trojan.Win32.Agent.baek (DrWEB: Win32.HLLW.Autoruner.2149)
- e:\\documents and settings\\localservice.nt authority\\cftmon.exe - Trojan.Win32.Agent.baek (DrWEB: Win32.HLLW.Autoruner.2149)
- e:\\windows\\system32\\drivers\\spools.exe - Trojan.Win32.Agent.baek (DrWEB: Win32.HLLW.Autoruner.2149)
-
