msftp.dll ... и другие. Как их убить

Printable View

Показывать 40 сообщений этой темы на одной странице

05.02.2008, 00:15
sersa78

Вложений: 3

msftp.dll ... и другие. Как их убить

Глючит интернет то страницы не открывает то скорость упала в двое, переустановка винды не дала результата, а все логдиски фарматировать неохота каспер кое что полечил да на msftp.dll заглючил помогите убить этого гада
05.02.2008, 00:23
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\454\local settings\application data\cftmon.exe');
TerminateProcessByName('c:\windows\system32\drivers\spool.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oua38.sys','');
QuarantineFile('C:\WINDOWS\System32\msftp.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\454\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\454\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\System32\msftp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17548[/url]

Повторите логи.
05.02.2008, 02:08
sersa78

Вложений: 3

после вып скрипта

залил карантин по этой ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=17548[/URL]

процесы spool stfmon пропали инет работает правда с адсл 512 стал на уровне диалапа 50 кбит работать. Скидываю логи.
05.02.2008, 02:10
wise-wistful

В карантине C:\WINDOWS\System32\msftp.dll - [b]Trojan-Downloader.Win32.Small.hwc[/b]
c:\windows\system32\drivers\spool.exe и c:\documents and settings\454\local settings\application data\cftmon.exe - [b]Backdoor.Win32.Agent.ehg[/b]

Не все захотели просто так уйти.
Выполните в АВЗ

[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Oua38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Eko51.sys','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17548[/url]
05.02.2008, 02:30
sersa78

залил карантин - [url]http://virusinfo.info/showthread.php?t=17548[/url]
05.02.2008, 03:17
wise-wistful

Попробуйте поскать через АВЗ Сервис--поиск файлов на диске Oua38.sys и Eko51.sys. Они упорно не хотят в карантин. Возможно, что это только следы.
sysfldr.dll по вирустотал
[quote]Антивирус Версия Обновление Результат
AntiVir 7.6.0.62 2008.02.04 [b]BDS/Backdoor.Gen[/b]
Avast 4.7.1098.0 2008.02.04 [b]Win32:Agent-RKM[/b]
BitDefender 7.2 2008.02.04 [b]Backdoor.SDBot.DFCV[/b]
DrWeb 4.44.0.09170 2008.02.04 [b]BackDoor.Mahaon[/b]
eSafe 7.0.15.0 2008.01.28 [b]suspicious Trojan/Worm[/b]
Ikarus T3.1.1.20 2008.02.04 [b]Trojan-Proxy.Win32.Webber.U[/b]
Panda 9.0.0.4 2008.02.04 [b]Suspicious file[/b]
Sophos 4.26.0 2008.02.04 [b]Mal/Emogen-G[/b]
Webwasher-Gateway 6.6.2 2008.02.04 [b]Trojan.Backdoor.Backdoor.Gen[/b][/quote]
Вот и вирлаб отписался по его версии [b]Trojan.Win32.Agent.ewc[/b]
05.02.2008, 03:39
Bratez

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Oua38');
BC_DeleteSvc('Eko51');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
05.02.2008, 22:47
sersa78

Вложений: 2

поиск через АВЗ Сервис--поиск файлов на диске Oua38.sys и Eko51.sys ничего не дал.
Выкладываю логи [SIZE=3][B][SIZE=2]virusinfo_syscheck.zip[/SIZE] [/B][SIZE=2]и[/SIZE][/SIZE][SIZE=2][B]hijackthis.log[/B] согласно правил виполняя с пункта 10. [/SIZE]
05.02.2008, 23:18
rubin

Пофиксьте в HiJackThis:
[code]O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)[/code]
перезагрузитесь и сделайте лог hijackthis еще разок...

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Пора ставить SP2 - потребует повторная активация
06.02.2008, 00:51
sersa78

Вложений: 1

после перезагрузки

не смог зайти в винду - запуск Windows и зависание
пришлось в безопасном режиме заходить и создавать нов уч запись после этого смена пользователей дало зайти под старым именем

Скорость интернета увеличилась но прыгает от 20 до 50 килобайт при каждом повторном тесте
Заметил что страницы открывает быстро а закачка файлов на уровне диалапа

сделал лог hijackthis
06.02.2008, 11:29
rubin

В остальном все чисто... Какие жалобы еще?
07.02.2008, 00:44
sersa78

после выполнения заданий в сообщении № 7 и № 9 перестал запускаться windows . идет загрузка и после приглашения зависание. нажимаю резет и после этого проходит нормально загрузка и вход в виндовс.
загружаюсь без проблем только в только в безопасном режиме.
07.02.2008, 01:37
sersa78

Вложений: 1

вот лог
07.02.2008, 22:52
sersa78

что то можна сделать или прийдется сносить винду? Посоветуйте!
07.02.2008, 22:56
V_Bond

[QUOTE=sersa78;184693]что то можна сделать ....Посоветуйте![/QUOTE]
1 срочно ставить сп 2
2 проверить железо (особенно блок питания и видео )
07.02.2008, 22:58
akok

Попробуйте так...
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
08.02.2008, 00:24
sersa78

[quote=V_Bond;184696]1 срочно ставить сп 2
2 проверить железо (особенно блок питания и видео )[/quote]
машина конь никаких проблем с железом все 2 года как часы работало птфю-птфю

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

скрипт не помог
заметил если после резета виндовс скандиском делает проверку то винда загружается
08.02.2008, 00:39
V_Bond

[QUOTE=sersa78;184712]машина конь никаких проблем с железом все 2 года как часы работало птфю-птфю
[/QUOTE]

блок питания - если не бренд наверняка не выдает ....(2 года для него много )
ну винчестер по вашим же словам нуждается в проверке ....
08.02.2008, 00:59
sersa78

Вложений: 3

в безопасном режиме выполнил скрипт лечения и тп из АВЗ после этого уже 3 раза загружается винда без проблем вот лог
что это могло быть
08.02.2008, 01:27
V_Bond

в логах чисто ... да и скрипт лечения ничего не лечил .... так что загрузка произошла не из-за него ...

Показывать 40 сообщений этой темы на одной странице