атаки продолжаются. не могу загрузить файлы логов

атаки продолжаются.
идет исх и вх трафик, отсылаются мейлы...

Прошу прощения второй день не могу загрузить файлы логов на ваш сайт,
такое впечатление, что вирус блокирует загрузку файлов на ваш сайт.
Трафик генерит сумасшедший как входящий, так и исходящий.
лог HijackThis могу выложить прямо в тексте сообщения
AVZ выдает среди прочего
>>Для удаления файла d:\windows\system32\ftpdll.dll необходима перезагрузка
d:\windows\system32\ftpdll.dll >>>>> Trojan-Downloader.Win32.Small.hwc успешно удален
Но после перезагрузки файл не удаляется.
еще в автозапуске был некий cftmon.exe с атрибутами H и S
O4 - HKLM\..\Run: [autoload] D:\Documents and Settings\sto\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [autoload] D:\Documents and Settings\sto\Local Settings\Application Data\cftmon.exe
подозрительно, что он был в папке Local Settings
Я его удалил с помощью HijackThis в регистре, затем на диске.
Но после перезагрузки он опять создался, и записи в регистре тоже.

Попробуйте залить логи на файлообменник типа [url]www.ifolder.ru[/url] (лучше одним архивом), а ссылочку сюда.

Сделал новые логи:
[url]http://stolbov.nm.ru/log4/log4.zip[/url]

Спасибо!

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачайте [/URL] .... меню File - файл D:\WINDOWS\system32\Drivers\Uci52.sys - force delete ...
затем выполните скрипт авз ...
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\Documents and Settings\sto\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Uci52.sys','');
QuarantineFile('D:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('D:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('D:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('d:\windows\system32\drivers\spools.exe','');
QuarantineFile('d:\windows\system32\pastisvc.exe','');
DeleteFile('d:\windows\system32\drivers\spools.exe');
DeleteFile('D:\WINDOWS\system32\ftpdll.dll');
DeleteFile('D:\WINDOWS\system32\sysfldr.dll');
DeleteFile('D:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('D:\WINDOWS\system32\Drivers\Uci52.sys');
DeleteFile('D:\Documents and Settings\sto\Local Settings\Application Data\cftmon.exe');
DeleteFile('D:\WINDOWS\system32\ftpdll.bak');
DeleteFile('D:\Documents and Settings\sto\ftpdll.dll');
BC_ImportAll;
BC_DeleteFile('D:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('D:\WINDOWS\system32\Drivers\Uci52.sys');
BC_DeleteFile('D:\WINDOWS\system32\ftpdll.dll');
BC_DeleteSvc('Uci52');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]

Карантин пришлите сюда - [url]http://virusinfo.info/upload_virus.php?tid=18234[/url]

Огромное спасибо!

[b]Backdoor.Win32.Agent.eom[/b] D:\Documents and Settings\sto\Local Settings\Application Data\cftmon.exe
[b]Backdoor.Win32.Agent.eom[/b] d:\windows\system32\drivers\spools.exe
[b]Trojan-Downloader.Win32.Small.hwc[/b] D:\WINDOWS\system32\ftpdll.dll
[b]Trojan-Downloader.Win32.Small.ilt[/b] D:\WINDOWS\system32\sysfldr.dll
D:\WINDOWS\system32\WLCtrl32.dll - свежий
D:\Documents and Settings\sto\Local Settings\Temp\svc32_4.exe - тоже
Чистые:
D:\_DISK\DISK1\_ROOT\NU\NDOS.COM
d:\windows\system32\pastisvc.exe

Сейчас гляну логи

NU\NDOS.COM - это старые нортон утилиты (может еще досовсие), лежат на диске, места много не просят, удалять жалко...

Выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr');
DeleteFile('D:\Documents and Settings\sto\Local Settings\Temp\svc32_4.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Лог hijackthis повторите

высылаю...

Удалилось... жалобы остались?

Жалобы прекратились еще после первого скрипта :-)

Остался вопрос, где я его мог подцепить?
ничего из инета не качал и тем более не запускал, ходил по сайтам 2 последние недели не много и только по делу. Посмотрел журнал в ие-експлорере - все сайты более-менее надежные.

Скоро разовьется фобия подключения к интернету.

Откуда - не знаю.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\sto\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.hs[/B] (DrWEB: BackDoor.FireOn)[*] d:\\documents and settings\\sto\\local settings\\temp\\svc32_4.exe - [B]Trojan.PHP.Turame.b[/B] (DrWEB: BackDoor.Bambalam.4)[*] d:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.hs[/B] (DrWEB: BackDoor.FireOn)[*] d:\\windows\\system32\\ftpdll.dll - [B]Worm.Win32.Socks.r[/B] (DrWEB: Trojan.DownLoader.44897)[*] d:\\windows\\system32\\sysfldr.dll - [B]Trojan-Downloader.Win32.Small.ilt[/B] (DrWEB: Trojan.DownLoader.38518)[*] d:\\windows\\system32\\wlctrl32.dll - [B]Trojan.Win32.Small.agv[/B] (DrWEB: BackDoor.Bulknet.157)[/LIST][/LIST]