Outpost Firewall определяет ftpdll.dll как spyware. Вроде бы удаляет его и просит перезагрузится. После перезагрузки этот файл снова на месте. Помогите справится с этой заразой.
Printable View
Outpost Firewall определяет ftpdll.dll как spyware. Вроде бы удаляет его и просит перезагрузится. После перезагрузки этот файл снова на месте. Помогите справится с этой заразой.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\DCR.sys','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\program files\drivecrypt\dcrserv.exe','');
QuarantineFile('c:\documents and settings\sasha\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\sasha\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Спасибо, помогло!
Обязательно, отключайте оутпост!
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe (User 'Default user')
[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 49 секунд[/I][/B][/color][/size]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\SASHA\LOCALS~1\TEMP\MBX@604@BC2558.###','');
DeleteFile('C:\DOCUME~1\SASHA\LOCALS~1\TEMP\MBX@604@BC2558.###');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\ftpdll.dll');
DeleteFile('C:\Documents and Settings\sasha\ftpdll.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18785[/url]
Повторите логи.
c:\documents and settings\sasha\local settings\application data\cftmon.exe [B]Backdoor.Win32.Agent.etc[/B]
c:\windows\system32\drivers\spools.exe [B]Backdoor.Win32.Agent.etc[/B]
C:\WINDOWS\system32\Drivers\DCR.sys -чистый
c:\program files\drivecrypt\dcrserv.exe- чистый
как то не совсем корректно выполняются у меня скрипты. После выполнения скрипта вылазит сообщение Failed to set data for "DisplayName". Компьютер сам не перезагружается, приходится вручную
Оутпост отключили? Совсем.
скрипты у вас не коректно работают из-за аутпоста ...
выполните скрипт ...
[code]
begin
BC_DeleteSvc('Schedule');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите hijackthis.log
Да, вот так выполняется и перезагружаеся
ничего подозрительного .... какие-то проблемы остались ?
Нет все работает нормально. Огромное спасибо за помощь и терпение
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.e[/B] (DrWEB: Trojan.DownLoader.49368)[*] c:\\documents and settings\\sasha\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.e[/B] (DrWEB: Trojan.DownLoader.49368)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.e[/B] (DrWEB: Trojan.DownLoader.49368)[/LIST][/LIST]