ftpdll.dll

Printable View

28.02.2008, 20:27
Salman

Вложений: 3

ftpdll.dll

файл ftpdll.dll сидит в system32, в "system volume information\_restore..."
вдобавок к этому после загрузки ОС, через пару минут выскакивает окно ошибки- " Generic Host Process for Win32 Services- обнаружена ошибка. Приложение будет закрыто....", как только закрываешь это окно комп виснет.
также комп в процессе выключения (если даже не закрывать описанное выше сообщение об ошибке) или перезагрузки виснет.
28.02.2008, 21:11
rubin

[b]ОТКЛЮЧИТЕ восстановление системы![/b]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('35D2328C-B75A-81BF-081C-B1E9DC54F3EE');
QuarantineFile('E:\autorun.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.000\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\services.exe','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
QuarantineFile('c:\windows\system32\drivers\NdisWon.sys',' ');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\TEMP\services.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.000\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('c:\windows\system32\drivers\NdisWon.sys');
BC_ImportAll;
BC_DeleteSvc('FCI');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('Schedule');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18842[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TEMP\services.exe
O4 - HKLM\..\Run: [Streams Drivers] C:\WINDOWS\TEMP\services.exe
O20 - Winlogon Notify: crypt - crypts.dll (file missing)[/CODE]
28.02.2008, 21:48
Salman

Архив отправил, надеюсь что дошел.
В HijackThis пофикил только эту строчку -
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Остальных просто не было в списке.
Сейчас комп благополучно выключается.
Спасибо огромное!
28.02.2008, 21:51
akok

Повторите логи.
28.02.2008, 21:56
rubin

[b]Trojan-Downloader.Win32.Small.ipy[/b] E:\autorun.exe
[b]Trojan-Downloader.Win32.Small.ipy[/b] C:\Documents and Settings\LocalService.NT AUTHORITY.000\Local Settings\Application Data\cftmon.exe
[b]Trojan-Downloader.Win32.Small.ipy[/b] c:\windows\system32\drivers\spools.exe
[b]Trojan-Downloader.Win32.Small.hwc[/b] C:\WINDOWS\system32\ftpdll.dll
28.02.2008, 22:56
Salman

Вложений: 3

ftpdll.dll

[quote=akoK;194714]Повторите логи.[/quote]

живучая зараза:O
28.02.2008, 23:04
rubin

Диск E, который был в первых логах - это что? там тоже есть зараза...
вставьте этот Е и выполните скрипт с ним

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачайте [/URL] .... меню File - файл C:\WINDOWS\system\hipsrv.mm -force delete ...
затем выполните скрипт авз ...
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('B782EDE4-CCB3-4E3E-981F-96C68116F38C');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.000\ftpdll.dll');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\autorun.exe');
BC_ImportDeletedList;
BC_DeleteSvc('hipsrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
И пофиксьте:
[code]2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe[/code]

Логи повторите (думаю в последний раз)
01.03.2008, 19:59
Salman

Мужики, вчера не ответил потому что комп работал исправно, а мне нужно было срочно доделать работу на специфичном ПО. Благодаря Вам, благополучно ее завершил.
Сегодня руководство раскошелилось на новый комп!!! порекомендуйте пожалуйста какой антивир и firewall поставить?
01.03.2008, 21:01
rubin

Рекомендуемые антивирусы
[url]http://virusinfo.info/showthread.php?t=1550[/url]

Фаерволлы - бесплатный Комодо, платный агнитум, либо полный пакет - к примеру KIS - антивирь+фаерволл
22.02.2009, 04:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]93[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice.nt authority.000\\local settings\\application data\\cftmon.exe - [B]Trojan-Downloader.Win32.Small.ipy[/B] (DrWEB: Trojan.DownLoader.49367)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.k[/B] (DrWEB: Trojan.DownLoader.49431)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Trojan-Downloader.Win32.Small.ipy[/B] (DrWEB: Trojan.DownLoader.49367)[*] c:\\windows\\system32\\ftpdll.dll - [B]Worm.Win32.Socks.r[/B] (DrWEB: Trojan.DownLoader.44897)[*] e:\\autorun.exe - [B]Trojan-Downloader.Win32.Small.ipy[/B] (DrWEB: Trojan.DownLoader.49367)[/LIST][/LIST]