poolse.exe, ftp34dll

Printable View

03.06.2008, 21:06
katy

Вложений: 3

poolse.exe, ftp34dll

здравствуйте.
в общем, картина такая:
утекает куда-то виртуалка, постоянно сообщения, что её не хватает, хоть машина мощная и многопотребляющих приложений нет.
explorer постоянно сам вырубается или виснет.
НОД 32 пишет: [I]модифицированный Win32/PSW.Agent.NHG троян найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\ftp34.dll. [/I]его никак не удалить.
в диспетчере задач постоянно процесс SPOOLS.EXE, SPOOLSV.EXE,SVCHOST.EXE
03.06.2008, 21:16
Гриша

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\katy\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\katy\cftmon.exe
O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'SYSTEM')[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('C:\WINDOWS\Temp\NTC7C732.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
QuarantineFile('C:\WINDOWS\totacon.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\katy\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\basemiq32.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
DeleteService('Schedule');
DeleteService('Secdrv');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\basemiq32.dll');
DeleteFile('C:\WINDOWS\system32\ftp34.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\katy\cftmon.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\totacon.exe');
DeleteFile('C:\WINDOWS\Temp\NTC7C732.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Schedule ');
BC_DeleteSvc('Secdrv ');
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=23960[/url]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.
03.06.2008, 22:14
katy

Вложений: 3

карантин отослала.
новые логи:
03.06.2008, 22:30
Гриша

NTC7C732.exe-[B]Trojan-Dropper.Win32.Agent.seg [/B]
userinit.exe-[B]Trojan.Win32.Agent.qry[/B](его нужно заменить на чистый из дистрибутива)
cftmon.exe,spools.exe-[B]Trojan-Downloader.Win32.Small.waz [/B]
secdrv.sys-свежий
basemiq32.dll-[B]Trojan.Win32.Pakes.cws[/B]
SETUPAPI.dll-[B]Trojan.Win32.Agent.qtj[/B]

В логах чисто,жалобы есть?
03.06.2008, 22:43
katy

всё равно почемуто пишет: слишком мало вирт. памяти:O
03.06.2008, 22:47
Гриша

Выполните пункт 2 правил,сообщите результат
03.06.2008, 22:53
katy

CureIT! ???
03.06.2008, 22:56
Гриша

угу
03.06.2008, 23:06
katy

[quote=Гриша;235959]угу[/quote]
нашлось парочка троянов. удалила. теперь всё хорошо. спасибо за помощь 8)
03.06.2008, 23:16
Гриша

Ну тогда Good Luck:)

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение[/URL] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
22.02.2009, 05:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\katy\\cftmon.exe - [B]Trojan-Downloader.Win32.Small.waz[/B] (DrWEB: Trojan.PWS.Pace.16)[*] c:\\documents and settings\\localservice\\cftmon.exe - [B]Trojan-Downloader.Win32.Small.waz[/B] (DrWEB: Trojan.PWS.Pace.16)[*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Agent.qtj[/B] (DrWEB: Trojan.DownLoader.62734)[*] c:\\windows\\system32\\basemiq32.dll - [B]Trojan.Win32.Pakes.cws[/B] (DrWEB: Trojan.Okuks.based)[*] c:\\windows\\system32\\drivers\\secdrv.sys - [B]Rootkit.Win32.Agent.apn[/B] (DrWEB: Trojan.NtRootKit.1180)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Trojan-Downloader.Win32.Small.waz[/B] (DrWEB: Trojan.PWS.Pace.16)[*] c:\\windows\\system32\\userinit.exe - [B]Trojan.Win32.Agent.qry[/B] (DrWEB: Trojan.PWS.Lich)[*] c:\\windows\\temp\\ntc7c732.exe - [B]Trojan-Dropper.Win32.Agent.seg[/B] (DrWEB: Trojan.MulDrop.16286)[/LIST][/LIST]