Этот процес "cftmon.exe" появляется в процессах примерно в количестве 5 штук. как я посмотрел достаточно распранненая проблема.
Printable View
Этот процес "cftmon.exe" появляется в процессах примерно в количестве 5 штук. как я посмотрел достаточно распранненая проблема.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\AL34\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('C:\WINDOWS\system32\mplink.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\al34\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\al34\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('C:\DOCUME~1\AL34\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.bak');
DeleteFile('C:\WINDOWS\system32\mplink.dll');
BC_ImportAll;
BC_DeleteSvc('Schedule');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18779[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\AL34\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\AL34\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O20 - Winlogon Notify: mplink - C:\WINDOWS\SYSTEM32\mplink.dll [/CODE]
3. Повторите логи с п.10 Правил
Спасибо проблема решена!!!
Рано! Повторите логи с п.10 Правил
virusinfo_cure.zip - это карантин удалите!
Карантин грузим по ссылке
[url]http://virusinfo.info/upload_virus.php?tid=18779[/url]
новые логи залиты.
C:\WINDOWS\system32\mplink.dll - [b]Backdoor.Win32.Agent.eqw[/b]
c:\windows\system32\drivers\spools.exe - [b]Backdoor.Win32.Agent.etc[/b]
c:\documents and settings\al34\local settings\application data\cftmon.exe - [b]Backdoor.Win32.Agent.etc[/b]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=AL34;194270]новые логи залиты.[/QUOTE]
Уфф давайте отделим курицу от яйца.....логи постим в сообщение, а карантин заливаем по ссылке сверху;)вирлабу ваши логи совсем не нужны.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O20 - Winlogon Notify: mplink - mplink.dll (file missing)
[/CODE]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_ImportDeletedList;
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('mplink.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторить логи с п.10 Правил
залил
C:\Documents and Settings\AL34\Рабочий стол\H\1.bat - это Вам знакомо?
Если да, то не вижу ничего подозрительного.
[quote=akoK;194310]C:\Documents and Settings\AL34\Рабочий стол\H\1.bat - это Вам знакомо?
Если да, то не вижу ничего подозрительного.[/quote]
Да это [B][U][COLOR=#22229c]HijackThis[/COLOR][/U][/B] я так распаковал просто случайно:).
Спасибо за все!!!!
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\al34\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.e[/B] (DrWEB: Trojan.DownLoader.49368)[*] c:\\documents and settings\\localservice\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.e[/B] (DrWEB: Trojan.DownLoader.49368)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.e[/B] (DrWEB: Trojan.DownLoader.49368)[*] c:\\windows\\system32\\mplink.dll - [B]Backdoor.Win32.Agent.eqw[/B] (DrWEB: Trojan.PWS.GoldSpy)[/LIST][/LIST]