help ctfmon32.dll

Printable View

Показывать 40 сообщений этой темы на одной странице

25.12.2006, 21:38
drug

help ctfmon32.dll

НОД постоянно выдавал сведения о тревоге!

Типа вот я нашел червя в файле С\виндовз\ктфмон32.длл
и сейчас я его удалю! Нажимаешь удалить !
несколько секунд покоя и снова и снова!
пишет что после перезагрузки удалится!
Ни фига!

Так вот впринципе после проверки AVZшкой пока больше не было тревог!
Ну все равно посматрите есть что-нибудь интересное в моих ЛОГах

Заранее большое спасибо!!!
25.12.2006, 21:45
drug

Вложений: 3

[SIZE=3][FONT=Arial]+ Panda[/FONT][FONT=Arial] стала [/FONT][FONT=Arial]ругатся на вирус [/FONT][FONT=Arial]Trj[/FONT][FONT=Arial]/[/FONT][FONT=Arial]Akill[/FONT][FONT=Arial].[/FONT][FONT=Arial]E[/FONT][FONT=Arial][/FONT][/SIZE]
[SIZE=3][FONT=Arial] Местонахождение с:\[/FONT][FONT=Arial]a.bat[/FONT][/SIZE]
26.12.2006, 14:39
Numb

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в программе Hijackthis следующие строчки:
[QUOTE]O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Microsoftf DDEs Control] soff.pif
O4 - HKLM\..\Run: [Winsock2 wqr1s] M32\LOL.EXE
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] soff.pif
O23 - Service: Windows MSN - Unknown owner - C:\WINDOWS\wmsnlivexp.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll[/QUOTE]
Если не знаете, что это - "C:\Documents and Settings\Администратор\Мои документы\ЧАЧА\intercom\intercom.exe" - пофиксите так же строчку [QUOTE]O4 - HKLM\..\Run: [intercom_chat_prg] "C:\Documents and Settings\Администратор\Мои документы\ЧАЧА\intercom\intercom.exe"[/QUOTE]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\System32\lzx32.sys','');
QuarantineFile('soff.pif','');
QuarantineFile('mslaugh.exe','');
QuarantineFile('M32\LOL.EXE','');
QuarantineFile('C:\WINDOWS\skynetave.exe','');
QuarantineFile('\SystemRoot\System32\Drivers\xmasscsi.sys','');
QuarantineFile('C:\WINDOWS\wmsnlivexp.exe','');
DeleteFile('C:\WINDOWS\System32\NavLogon.dll');
DeleteFile('C:\WINDOWS\wmsnlivexp.exe');
DeleteFile('C:\WINDOWS\skynetave.exe');
DeleteFile('M32\LOL.EXE');
DeleteFile('mslaugh.exe');
DeleteFile('soff.pif');
DeleteFile('\??\C:\WINDOWS\System32\lzx32.sys');
DeleteFile('C:\WINDOWS\system32\lzx32.sys');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\lzx32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\zx32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\msguard');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\msguard');
ExecuteSysClean;
AutoFixSPI;
RebootWindows(true);
end.[/QUOTE]
После перезагрузки вышлите содержимое карантина, как написано в п. 8 приложения 2 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL], и сделайте новые логи (п.п. 8 - 13 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL])
28.12.2006, 11:12
drug

[quote=Numb;89083][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в программе Hijackthis следующие строчки:

Если не знаете, что это - "C:\Documents and Settings\Администратор\Мои документы\ЧАЧА\intercom\intercom.exe" - пофиксите так же строчку
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт

[/quote]

Выполнил я эти действия, но когда компьютер стал перезагружаться
и появилась табличка сохранение параметров на этом все замерло:?
минут на двадцать после чего была нажата кнопочка перезагрузки.

Когда компьютер запустился стали появляться предупреждения АД АВАРЕ о изминении регистра :? я нажал БЛОК

Ну папка с карантинами была пуста:?

Может я туплю или что?

Что делать?
28.12.2006, 11:20
anton_dr

Именно. Тот скрипт, который вам дали, чистит реестр. Перед его выполнением отключите защиту реестра. А лучше вообще увольте с компьютера Ad Aware :)
28.12.2006, 17:01
drug

Вложений: 3

Вот логи!

А собственно какие файлы присылать!

Папка карантин пустая?:?
28.12.2006, 17:34
Numb

То, что присылать нечего - плохо. А вот того, что было в первых логах, я уже не вижу. Из того что вижу: у вас в памяти в первых логах висело 2,5 антивируса - Панда, НОД и кусок Нортона. Сейчас осталось два - меньше, но все-равно много. А вот Ад Аваре я не видел ни в первых, ни во вторых логах. Откуда взялась и куда делась? И еще: Windows XP SP1 ОФИЦИАЛЬНО не поддерживается Microsoft. Крайне желательно установить SP2+все последующие дополнения. Только имейте в виду, что в вашем случае после установки SP2 потребуется активация Windows.
Я, вроде бы, ничего подозрительного больше не вижу. На всякий случай, скачайте [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt![/URL] и проверьте им систему в безопасном режиме.
Так же большая просьба к более опытным хелперам посмотреть повторные логи и дать свои рекомендации - мог что-то и пропустить.
28.12.2006, 17:55
pig

Следы AdAware имеются:
[code]O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"[/code]
Самой в памяти не видно.
NOD и Панда висят одновременно, подтверждаю.
Зверей, по крайней мере явных, не вижу.

AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true,true);
QuarantineFile('xmasscsi.sys','');
RebootWindows(true);
end.[/code]
Если в карантине что-то окажется, пришлите. Страничка для отправки переехала с HTTPS на HTTP.
31.12.2006, 15:19
drug

[quote=pig;89331]Если в карантине что-то окажется, пришлите.[/quote]

К сожалению в карантине опять пусто!

Пока все работает нормально!

Всем спасибо!
01.01.2007, 07:11
pig

Ладно, будем считать, что это безопасный кусок Алкоголя.
09.01.2007, 21:55
drug

Вложений: 3

Продолжение войны

После последнего сообщения в этой теме
панда постоянно находила вирус и лечила (до того пока я ее не снес:) ) файл:

C:\WINDOWS\system32\sfc_os.dll

Имя вируса:Trj/Sfc.A.mod

Есть подозрение что все таки что-то есть в моем компьютере!:?

Помагите люди добрые!
09.01.2007, 22:04
Shu_b

sfc_os.dll - 137Kb

Найдите копии файла поиском по системной директроии (например - в C:\WINDOWS\ServicePackFiles\i386) и замените повреждённый.

Повреждённый пришлите согласно приложени 2 правил.
09.01.2007, 23:08
drug

файл отослал

Результат загрузки
Файл сохранён как 070109_140457_virus_45a3f569b5d7f.zip
Размер файла 58260
MD5 afea26eea9df42517c55dbb8cb41b755
09.01.2007, 23:21
drug

[quote=Shu_b;90370]

Найдите копии файла поиском по системной директроии (например - в C:\WINDOWS\ServicePackFiles\i386) [/quote]

AVZ нашла копию в папке [FONT=Arial]C:\WINDOWS\system32\dllcache[/FONT]
[FONT=Arial][/FONT]
[FONT=Arial]но у меня нет этой папки[/FONT]
10.01.2007, 10:46
Geser

[QUOTE]но у меня нет этой папки[/QUOTE]
Сдли нашла значит есть. Вы её не видите, видимо потому что не включено отображение скрытых и системных папок.
10.01.2007, 17:09
drug

[quote=Geser;90411]Сдли нашла значит есть. Вы её не видите, видимо потому что не включено отображение скрытых и системных папок.[/quote]

Да все у меня включено просто нету этой папки и все:?
10.01.2007, 17:38
Numb

результаты проверки присланного файла на virustotal:
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.10.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.10.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.10.2007 no virus found
DrWeb 4.33 01.10.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.10.2007 no virus found
Fortinet 2.82.0.0 01.10.2007 suspicious
F-Prot 3.16f 01.10.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.10.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.10.2007 no virus found
NOD32v2 1969 01.10.2007 no virus found
Norman 5.80.02 01.10.2007 no virus found
Panda 9.0.0.4 01.09.2007 Trj/Sfc.A.mod
Prevx1 V2 01.10.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.10.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 no virus found
Файл подписан, как защита файлов Windows версия 5.1.2600.1106 (xpsp1.020828-1920). Shu_b говорил, вероятно, про версию 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158 )
Вероятнее всего, это ложное срабатывание Панды, но все-равно, как уже писалось, на вашу машину КРАЙНЕ ЖЕЛАТЕЛЬНО установить SP2 для Windows XP + все последующие обновления.
10.01.2007, 17:53
drug

Ну ладно будем верить в лучшее!
10.01.2007, 18:21
pig

[QUOTE=drug;90459]Да все у меня включено просто нету этой папки и все:?[/QUOTE]

System32\dllcache - системная папка. Обязана быть.
10.01.2007, 20:48
drug

[quote=pig;90469]System32\dllcache - системная папка. Обязана быть.[/quote]

ДА все я нашел ее

ПРосто когда я убирал галочку в настройках:
скрывать защищенные системные папки
я почему то искал ее по алфавиту:)

а надо было посмотреть внизу

Вот такой такой вот я пользователь:) епт

Показывать 40 сообщений этой темы на одной странице