Показано с 1 по 16 из 16.

Downloader msftp.dll после перезагрузки появляется (заявка № 17541)

  1. #1
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39

    Thumbs up Downloader msftp.dll после перезагрузки появляется

    Symantec AntiVirus находит вирус в директориях C:\WINDOWS\system32\msftp.dll и C:\Documents and Settings\uzer\msftp.dll . Удаляет . Но после перезагрузки вирус опять появляется.Прошу помочь.Заранее благодарен.
    Последний раз редактировалось tarik1969; 05.02.2008 в 23:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Удалите ConnectionServices - это адваре.
    Выполните скрипт в АВЗ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('msupdate', 4);
     StopService('msupdate');
     QuarantineFile('C:\WINDOWS\schost.exe','');
     QuarantineFile('C:\WINDOWS\system32\undname.exe','');
     QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
     QuarantineFile('C:\WINDOWS\system32\mms32rsers.dll','');
     QuarantineFile('C:\WINDOWS\system32\sfrem01.exe','');
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
     QuarantineFile('C:\WINDOWS\System32\PAStiSvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys','');
     QuarantineFile('c:\windows\system32\drivers\spool.exe','');
     QuarantineFile('c:\documents and settings\taras\local settings\application data\cftmon.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
     DeleteFile('c:\windows\system32\mssrv32.exe');
     DeleteFile('C:\Documents and Settings\taras\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
     DeleteFile('C:\WINDOWS\schost.exe');
     BC_DeleteSvc('msupdate');
     BC_DeleteSvc('FCI');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится. Загрузите карантин согласно приложения 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=17541

    Профиксите

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\undname.exe,
    O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
    O2 - BHO: Google Module - {B87D203B-B43D-4af9-9E1B-9C20478CBB74} - strike12.dll (file missing)
    O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

  4. #3
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39
    Скрипт выполнил.Карантин выслал.
    Вот новые логи.
    Последний раз редактировалось tarik1969; 15.03.2008 в 22:42.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    c:\documents and settings\taras\local settings\application data\cftmon.exe -Trojan.Win32.KillAV.ny
    C:\Documents and Settings\taras\Local Settings\Temp\47C9.tmp Trojan-Downloader.Win32.Diehard.dm
    c:\windows\system32\drivers\spool.exe Trojan.Win32.KillAV.ny
    выполните скрипт ....
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\h8Ei8d24.exe','');
     QuarantineFile('C:\WINDOWS\system32\mms32rsers.dll','');
     DeleteFile('c:\windows\system32\drivers\spool.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\mms32rsers.dll');
     DeleteFile('C:\Documents and Settings\taras\Local Settings\Temp\47C9.tmp');         
     BC_Importall;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39
    Скрипт выполнил. Карантин отправил.
    Нужно ли высылать новые логи?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    удалите задания в планировщике ....
    mms32rsers.dll - попробуйте найти при помощи авз- сервис- поиск файлов на диске .... если найдется пришлите поправилам ...

  8. #7
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39
    mms32rsers.dll авз не находит

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    пофиксите ....
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\mms32rsers.dll
    повторите логи начиная с пкнкта 10 правил ...

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    ничего. делайте логи с пункта 10.

  11. #10
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39
    Вот логи.
    Последний раз редактировалось tarik1969; 15.03.2008 в 22:42.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\documents and settings\taras\local settings\application data\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    у вас есть расшаренные ресурсы ?

    Добавлено через 1 минуту

    PAStiSvc.exe - пришлите по правилам ...
    Последний раз редактировалось V_Bond; 05.02.2008 в 22:55. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39
    Домашний компютер. Расшареных ресурсов нет.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    давайте полный комплект логов и запрошенный файл ... вы опять нахватали ...

  15. #14
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39
    msftp.dll больше не появляется. PAStiSvc.exe выслал
    Вот новые логи.
    Последний раз редактировалось tarik1969; 15.03.2008 в 22:42.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    сейчас в логах чисто ...
    стоит закрыть лишнее из списка ...
    > Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  17. #16
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    39
    Вес репутации
    39
    Огромное вам спасибо!

  • Уважаемый(ая) tarik1969, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Троян - появляется после перезагрузки
      От Natatula в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 04.05.2010, 09:23
    2. Ответов: 12
      Последнее сообщение: 12.04.2010, 06:47
    3. Ответов: 8
      Последнее сообщение: 09.05.2009, 18:42
    4. Wiogn.AX появляется после перезагрузки
      От Anton_Petrenko в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.03.2008, 13:24
    5. Downloader msftp.dll после перезагрузки появляется
      От tarik1969 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.02.2008, 21:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00912 seconds with 16 queries