Показано с 1 по 13 из 13.

Появление в автозагрузке spools.exe (заявка № 18776)

  1. #1
    Junior Member Репутация
    Регистрация
    26.02.2008
    Сообщений
    6
    Вес репутации
    61

    Thumbs up Появление в автозагрузке spools.exe

    Добрый день! Помогите, пожалуйста, справиться с данной гадостью, отличительные особенности: резкое увеличение трафика (как входящего, так и исходящего) и появление в автозагрузке и, соответственно, в процессах spools.exe. Dr. Web определяет его как backdoor. bulknet.160, nod 32 - заблокирован.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Bje65');
     SetServiceStart('Bje65', 4);
    QuarantineFile('C:\Documents and Settings\alexei\Local Settings\Temp\4DFE.tmp','');
    QuarantineFile('C:\Documents and Settings\alexei\Local Settings\Temporary Internet Files\Content.IE5\49M527OB\sys32[1].exe','');
    QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\ftpdll.dll','');
    QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UDWFANOP\sys32[1].exe','');
     QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Bje65.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\Documents and Settings\alexei\Local Settings\Application Data\cftmon.exe','');
     DeleteFile('C:\Documents and Settings\alexei\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Bje65.sys');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\cftmon.exe');
    DeleteFile('C:\Documents and Settings\alexei\Local Settings\Temp\4DFE.tmp');
    DeleteFile('C:\Documents and Settings\alexei\Local Settings\Temporary Internet Files\Content.IE5\49M527OB\sys32[1].exe');
    DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\ftpdll.dll');
    DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UDWFANOP\sys32[1].exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Bje65');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18776).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    26.02.2008
    Сообщений
    6
    Вес репутации
    61
    Высылаю логи, спасибо!
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    567
    Backdoor.Win32.Agent.eso C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\cftmon.exe
    Backdoor.Win32.Agent.eso C:\Documents and Settings\alexei\Local Settings\Application Data\cftmon.exe
    Backdoor.Win32.Agent.eso C:\WINDOWS\system32\drivers\spools.exe

    Добавлено через 2 минуты

    Скачайте .... меню File - файл C:\WINDOWS\system32\Drivers\Bje65.sys -force delete ...
    затем выполните скрипт авз ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Bje65.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Bje65.sys');
     BC_ImportAll;
     BC_DeleteSvc('Bje65');                                               
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пришлите новый карантин, с п.10 Правил повторите логи
    Последний раз редактировалось rubin; 27.02.2008 в 19:11. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    26.02.2008
    Сообщений
    6
    Вес репутации
    61
    сделано, логи высылаю, спасибо!!!
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    567
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');                                           
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck

  8. #7
    Junior Member Репутация
    Регистрация
    26.02.2008
    Сообщений
    6
    Вес репутации
    61
    отправляю....
    Вложения Вложения

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    78
    SanitarDiska - а это Вам зачем???

    Добавлено через 2 минуты

    Удаляем "каку"
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Program Files\SanitarDiska\secure_del.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Последний раз редактировалось akoK; 27.02.2008 в 23:41. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    26.02.2008
    Сообщений
    6
    Вес репутации
    61
    Скрипт выполнен, а вот откуда взялась эта дрянь - хоть убей не могу сказать... Спасибо за уделенное внимание и потраченное на меня время! СПАСИБО ОГРОМНОЕ!!!

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    Цитата Сообщение от Inane Посмотреть сообщение
    а вот откуда взялась эта дрянь - хоть убей не могу сказать...
    "не виноватая я, он сам ко мне пришел ..." (с)

  12. #11
    Junior Member Репутация
    Регистрация
    26.02.2008
    Сообщений
    6
    Вес репутации
    61
    Хоть кто-то мне поверил... Да-да, именно так все и было, с этого все и началось... А получилось - вот... я у Вас в гостях)) Не буду отвлекать Вас от более насущных дел - СПАСИБО Вам за помощь!

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    567
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    979

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\alexei\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.j (DrWEB: Trojan.DownLoader.61971)
      2. c:\\documents and settings\\localservice.nt authority\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.j (DrWEB: Trojan.DownLoader.61971)
      3. c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.j (DrWEB: Trojan.DownLoader.61971)


  • Уважаемый(ая) Inane, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. как избавиться от spools.exe
      От Bf3000 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.12.2011, 22:51
    2. spools.exe
      От navy_seals в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:35
    3. Проблема с трояном spools
      От aleksii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:20
    4. spools.exe и иже с ними
      От katy в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.05.2008, 22:33
    5. Spools, ctfmon и другие
      От alyen в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.03.2008, 16:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01410 seconds with 20 queries