Второй день борюсь с этим "гадом". Проверял Nod32, dr Web CureIT - результат один и тот же - после перезагрузки появляется снова. Отключил ctfmon.exe и spools.exe - все равно откуда-то "вылазит".
Ребята, помогите, пожалуйста.:O
Printable View
Второй день борюсь с этим "гадом". Проверял Nod32, dr Web CureIT - результат один и тот же - после перезагрузки появляется снова. Отключил ctfmon.exe и spools.exe - все равно откуда-то "вылазит".
Ребята, помогите, пожалуйста.:O
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ponomarenko_ev\ftpdll.dll','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('H:\T-MAIL\TMRUN.BAT','');
QuarantineFile('c:\documents and settings\localservice\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\localservice\local settings\application data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('C:\Documents and Settings\ponomarenko_ev\ftpdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Карантин отослал... Сейчас повторю логи...
[quote=den1980;201893]Сейчас повторю логи...[/quote]
повторяю логи
c:\documents and settings\localservice\local settings\application data\cftmon.exe Worm.Win32.Socks.d
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\documents and settings\ponomarenko_ev\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('C:\Documents and Settings\ponomarenko_ev\ftpdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 праил ...
повторите логи ...
Еще логи, после выполнения скрипта
Карантин тоже отослал
[b]TMRUN.BAT[/b] - это что за файлик в планировщике заданий. Если вы его не знаете, тогда - авз сервис--поиск файлов на диске поищите его, если найдётся, тогда согласно приложению 2 правил вышлите.
Это запланированное задание. Получение банковских выписок. Выполняется каждое утро в 5.30 утра.
Присылать?:>
Ну тогда порядок. Врагов не видать.
Советуем прочитать [url="http://security-advisory.virusinfo.info/"]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи! :)
Все ребята! Спасибо большое!!!
Если что - то обращайтесь, постараемся помочь ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\application data\\cftmon.exe - [B]Worm.Win32.Socks.d[/B] (DrWEB: BackDoor.FireOn.2)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.d[/B] (DrWEB: BackDoor.FireOn.2)[/LIST][/LIST]