-
Обнаружена куча вирусов.
Добрый день!
Проверил систему(Windows Home Edition SP2), обнаружилось куча вирусов. Безопасный режим не запускается(уходит в перезагруз), постоянно выскакивает окно "ошибка приложения system32". ИЕ запускает только стартовую страницу, затем ни одна страница не запускается. Посмотрите логи, пожалуйста.
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
DeleteService('UIUSys');
QuarantineFile('c:\documents and settings\Владелец\local settings\application data\spool.exe','');
QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('c:\documents and settings\Владелец\local settings\application data\spool.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Поставьте правильную дату в компьютере.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Обновите Java.
-
Карантин
[SIZE=1]Файл сохранён как[/SIZE][SIZE=1]090618_125114_virus_4a3a00029e03a.zip[/SIZE][SIZE=1]Размер файла[/SIZE][SIZE=1]4039[/SIZE][SIZE=1]MD5[/SIZE][SIZE=1]0b5d70f8d33745bb5e8557396d3f8dad[/SIZE]
Новый лог положил, Адобе удалил, Джаву обновил.
-
Зашли из под другой учетной записи? В ней свой таракан сидел. Он запустился и, наверное, перезаразил первую.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\Владелец\local settings\application data\spool.exe');
DeleteFile('C:\Documents and Settings\Den\Local Settings\Application Data\spool.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Скачайте файл [url]http://narod.ru/disk/9487011000/avz-poly.exe.html[/url] (это более свежая версия AVZ, но в ней не обновляются базы). Сохраните его в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
-
"Скачайте файл http://narod.ru/disk/9487011000/avz-poly.exe.html"
Не качается.
-
Там надо цифровой код ввести.
-
Выполнил скрипт, скачал, запустил.
-
Чудеса. Трояна что-то восстанавливает. Либо не закрытая уязвимость Windows, либо зараженная флешка...
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('iPod Service');
QuarantineFile('C:\WINDOWS\system32\drivers\qmofiltr.sys','');
QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('c:\documents and settings\den\local settings\application data\spool.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Den\Local Settings\Application Data\spool.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
-
[SIZE=1][SIZE=2]Капантин выложил[/SIZE]
Файл сохранён как[/SIZE][SIZE=1]
090618_153912_virus_4a3a27609b4eb.zip[/SIZE][SIZE=1]Размер файла[/SIZE][SIZE=1]55114[/SIZE][SIZE=1]MD5[/SIZE][SIZE=1]6bf554479d15783b9fdafba90f0c3cbd[/SIZE]
-
c:\windows\system32\drivers\ctfmon.exe = Worm.Win32.Socks.akn
Worm говорит, что этот файл может распространятся сам собой (как не знаю).
Установите антивирус, которые его знает: [url]http://www.virustotal.com/ru/analisis/2b488fca19ae333baf0dd8602b281e9e34b05f3b55abca746e524bdbeca11803-1245333935[/url]
-
Поставил каспер, накатил 3-й сервис пак. Проблемы ушли. Появились новые. Виснет при перезагрузке. При выключении нормально.
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 28 минут[/I][/B][/color][/size]
Тему можно закрывать.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ctfmon.exe - [B]Worm.Win32.Socks.akn[/B] ( DrWEB: Trojan.PWS.Pace, BitDefender: Win32.Worm.Socks.BU )[*] c:\windows\system32\ftpdll.dll - [B]Trojan-Downloader.Win32.Small.agct[/B] ( DrWEB: Trojan.PWS.Pace, BitDefender: Win32.Worm.Socks.W )[/LIST][/LIST]
Page generated in 0.00623 seconds with 10 queries