Подозрение на троян

Printable View

04.02.2008, 15:51
Ze_Mysyk

Вложений: 3

Подозрение на троян

Нод все время разрывает соединение с сервером где вирус, но вирусов не находит, логи прилагаются
04.02.2008, 19:49
rubin

Восстановление системы: включено - отключите.
Выполните в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\runya\Главное меню\Программы\Автозагрузка\cpu.exe','');
QuarantineFile('c:\documents and settings\runya\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\runya\local settings\application data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\msftp.dll');
DeleteFile('c:\windows\system32\drivers\spool.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите сюда - [url]http://virusinfo.info/upload_virus.php?tid=17522[/url]

Очистьте временные файлы IE

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 48 минут[/I][/B][/color][/size]

cftmon.exe [b]Backdoor.Win32.Agent.ehg[/b]
spool.exe [b]Backdoor.Win32.Agent.ehg[/b]
[b]Trojan-Downloader.Win32.Small.hwc[/b] msftp.dll

Повторите логи
05.02.2008, 01:25
Ze_Mysyk

Вложений: 3

повторяю логи....
05.02.2008, 01:35
wise-wistful

[b]ОТКЛЮЧИТЕ восстановление системы, иначе все лечение насмарку.[/b]

HijackThis.exe - запущен из архива? Его нужно распаовать в отдельный каталог.

Выполните в АВЗ

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Повторите hijackthis.log и virusinfo_syscure.zip
22.02.2009, 03:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\runya\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.hq[/B] (DrWEB: Trojan.DownLoader.46268)[*] c:\\windows\\system32\\drivers\\spool.exe - [B]Worm.Win32.Socks.hq[/B] (DrWEB: Trojan.DownLoader.46268)[*] c:\\windows\\system32\\msftp.dll - [B]Worm.Win32.Socks.r[/B] (DrWEB: Trojan.DownLoader.44897)[/LIST][/LIST]