ftp34.dll

Printable View

25.06.2008, 10:58
MEMHOH

Вложений: 3

ftp34.dll

Постоянно появляется данный файл после удаления и подгружает левый svchost.exe в профиле пользователя и serviсes.exe в папке system32\drivers. Как итог жрет траффик и портит DNS кэш. В реестре в ветке Run удаляешь их, снова появляются после перезагрузки. Других следов не нашел.
25.06.2008, 11:16
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Buhgalter\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\Buhgalter\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('vbV44');
BC_DeleteSvc('Ttj25');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Rcc03');
BC_DeleteSvc('Qbv25');
BC_DeleteSvc('Ooe74');
BC_DeleteSvc('lbL47');
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25307[/url]).
Сделайте новые логи, начиная с п.10 правил.
25.06.2008, 11:44
MEMHOH

Вложений: 2

новые логи

СДелал согласно рекомендациям )
25.06.2008, 11:57
Rene-gad

Выполните скрипт
[CODE]begin
RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName ',' ');
end.[/CODE]
Пофиксите
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]
Перегрузитесь и повторите логи от п.10 правил.
25.06.2008, 12:07
MEMHOH

Вложений: 2

Ещё логи

Вроде чистенько. Не скажете где ж искать то надо было? Ужель в ветке реестра winlogon достаточно было удалить запись, если ручками делать? А потом удалять файлы?
22.02.2009, 06:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\buhgalter\\svchost.exe - [B]Worm.Win32.AutoRun.dze[/B] (DrWEB: BackDoor.BotSiggen.16)[*] c:\\system volume information\\_restore{01bce6b4-dc62-42c4-880c-59ef9f387c32}\\rp1\\a0000034.dll - [B]Trojan-Downloader.Win32.Mutant.yf[/B] (DrWEB: Trojan.DownLoader.61474)[*] c:\\windows\\system32\\drivers\\services.exe - [B]Worm.Win32.AutoRun.dze[/B] (DrWEB: BackDoor.BotSiggen.16)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.acs[/B] (DrWEB: BackDoor.Bulknet.208)[/LIST][/LIST]