-
Junior Member
- Вес репутации
- 61
Что за ftp34.dll? [Trojan-Downloader.Win32.Small.vwd, Trojan-Downloader.Win32.Diehard.fx
]
Здравствуйте.
Получилось так. Что этот компьютер выпал из моего поля зрения.
Обнаружил его странную работу. Сразу подумал, вирусы.
Попробовал антивирус... не запускается! То есть не устанавливается.
Куриит в безопасном режиме тоже не запускается!
Испробовал АВЗ, слава богу, что-то вычистил. Но не удаляется файл, что в заголовке темы. И еще что-то там есть....
Логи прилагаю.
Последний раз редактировалось Jinn; 09.06.2009 в 14:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\wind\system32\drivers\spools.exe');
StopService('Schedule');
SetServiceStart('Schedule', 4);
QuarantineFile('haskel32.dll','');
QuarantineFile('C:\WIND\winlogon.exe','');
QuarantineFile('C:\WIND\system32\WlCtrl32.dll','');
QuarantineFile('C:\WIND\system32\tmp_0.dll','');
QuarantineFile('C:\WIND\system32\msxmpva.dll','');
QuarantineFile('C:\WIND\system32\mssrv32.exe','');
QuarantineFile('C:\WIND\system32\haskel32.dll','');
QuarantineFile('C:\WIND\system32\ftp34.dll','');
QuarantineFile('C:\WIND\system32\drivers\spools.exe','');
QuarantineFile('C:\WIND\iexplorer.exe','');
QuarantineFile('C:\Documents and Settings\администратор.BSG-ZAPAS\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\arzanik.BSG\Local Settings\Temp\sv32_3.exe','');
DeleteFile('haskel32.dll');
DeleteFile('C:\WIND\winlogon.exe');
DeleteFile('C:\WIND\system32\WlCtrl32.dll');
DeleteFile('C:\WIND\system32\tmp_0.dll');
DeleteFile('C:\WIND\system32\msxmpva.dll');
DeleteFile('C:\WIND\system32\mssrv32.exe');
DeleteFile('C:\WIND\system32\haskel32.dll');
DeleteFile('C:\WIND\system32\ftp34.dll');
DeleteFile('C:\WIND\system32\drivers\spools.exe');
DeleteFile('C:\WIND\iexplorer.exe');
DeleteFile('C:\Documents and Settings\администратор.BSG-ZAPAS\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
DeleteFile('C:\Documents and Settings\arzanik.BSG\Local Settings\Temp\sv32_3.exe');
DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 61
Спасибо за помощь. Вроде все вычистилось.
Высылаю карантин и логи согласно правилам.
Последний раз редактировалось Jinn; 09.06.2009 в 14:33.
-
-Пофиксите
Код:
O2 - BHO: (no name) - {131662F2-95DC-42C0-BC88-3A83E7267481} - C:\WIND\system32\catsrvu.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WIND\system32\catsrvu.dll','');
DeleteFile('C:\WIND\system32\catsrvu.dll');
DelCLSID('{131662F2-95DC-42C0-BC88-3A83E7267481}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачайте карантин и повторите логи.
-
-
Вот Ваше добро:
cftmon.exe_ - Trojan-Downloader.Win32.Small.xja,
ftp34.dll - Trojan-Downloader.Win32.Small.vrw,
haskel32.dll - Trojan-Downloader.Win32.BHO.lx,
iexplorer.exe_ - Trojan.Win32.Pakes.jsl,
mssrv32.exe_ - Backdoor.Win32.Kbot.s,
msxmpva.dll - Trojan.Win32.Zapchast.ep,
sv32_3.exe_ - Trojan-Downloader.Win32.Diehard.fx,
tmp_0.dll - Trojan-Downloader.Win32.Small.cyn,
WlCtrl32.dll - Trojan.Win32.Small.agv
Все по класс-ции ЛК.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\arzanik.bsg\\local settings\\temp\\sv32_3.exe - Trojan-Downloader.Win32.Diehard.fx (DrWEB: BackDoor.Bulknet.163)
- c:\\documents and settings\\localservice.nt authority\\cftmon.exe - Trojan-Downloader.Win32.Small.xja (DrWEB: Trojan.MulDrop.16735)
- c:\\documents and settings\\администратор.bsg-zapas\\cftmon.exe - Trojan-Downloader.Win32.Small.xja (DrWEB: Trojan.MulDrop.16735)
- c:\\wind\\iexplorer.exe - Trojan.Win32.Pakes.jsl (DrWEB: Trojan.MulDrop.18267)
- c:\\wind\\system32\\drivers\\spools.exe - Trojan-Downloader.Win32.Small.xja (DrWEB: Trojan.MulDrop.16735)
- c:\\wind\\system32\\ftp34.dll - Trojan-Downloader.Win32.Small.vrw (DrWEB: Trojan.DownLoader.61196)
- c:\\wind\\system32\\haskel32.dll - Trojan-Downloader.Win32.BHO.lx (DrWEB: BackDoor.Banker.2)
- c:\\wind\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.s (DrWEB: Trojan.DownLoader.26661)
- c:\\wind\\system32\\msxmpva.dll - Trojan.Win32.Zapchast.ep (DrWEB: Trojan.PWS.Mailspy.41)
- c:\\wind\\system32\\tmp_0.dll - Trojan-Downloader.Win32.Small.vwd (DrWEB: Trojan.DownLoader.14310)
- c:\\wind\\system32\\wlctrl32.dll - Trojan.Win32.Small.agv (DrWEB: BackDoor.Bulknet.157)
-