Avira AntiVir находит и убивает трояны TR/Dldr.Small.hwc(msftp.dll) в system32 и в Documents and Settings.А после перезагрузки они(msftp.dll) появляются на тех же местах.Что делать?
Avira AntiVir находит и убивает трояны TR/Dldr.Small.hwc(msftp.dll) в system32 и в Documents and Settings.А после перезагрузки они(msftp.dll) появляются на тех же местах.Что делать?
Последний раз редактировалось nestorsax; 11.02.2008 в 17:29.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('sysfldr.dll',''); QuarantineFile('C:\WINDOWS\RTHDCPL.EXE',''); QuarantineFile('C:\WINDOWS\mmhren1.exe',''); QuarantineFile('Qlse802mmt.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Flr18.sys',''); QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll',''); QuarantineFile('c:\windows\system32\drivers\spool.exe',''); QuarantineFile('c:\documents and settings\nestor\local settings\application data\cftmon.exe',''); DeleteFile('c:\documents and settings\nestor\local settings\application data\cftmon.exe'); DeleteFile('c:\windows\system32\drivers\spool.exe'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('sysfldr.dll'); BC_Activate; BC_ImportALL; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17853
Добавлено через 1 минуту
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логиКод:O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\nestor\Local Settings\Application Data\cftmon.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\nestor\Local Settings\Application Data\cftmon.exе O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
Последний раз редактировалось akoK; 11.02.2008 в 00:36. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Большое спасибо! К сожалению таких строк в проге нет(есть похожие). правда при перезагрузке msftp.dll не появились! сканирую - может убились уже?
Последний раз редактировалось nestorsax; 11.02.2008 в 02:48. Причина: Добавлено
Логи повторите.
вот новые логи
Где вот?
вот логи
cftmon.exe_, spool.exe_ - Trojan-Downloader.Win32.Small.iih,
LogCrypt.dll - Trojan.Win32.Agent.eub
Выполните в АВЗ
ПрофикситеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Flr18', 4); StopService('Flr18'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Flr18.sys'); DeleteService('Flr18'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
falar portuges..?
стало намного лучше! я уж думал придется сносить винду
Добавлено через 42 секунды
спасибо!
Добавлено через 4 минуты
теперь наверно нужно включить восстановление системы и контрольную точку
Последний раз редактировалось nestorsax; 11.02.2008 в 18:12. Причина: Добавлено
Нет, теперь логи надо сделать!
I am not young enough to know everything...
Нет, сначала контрольный выстрел, то есть, новые логи.
новые логи
Логами не ошиблись случайно? Или скрипт в http://virusinfo.info/showpost.php?p=186201&postcount=8 не выполняли ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
выполнил. потом автоматичеки перегрузился комп
Добавлено через 2 минуты
а что именно не так?
Последний раз редактировалось nestorsax; 11.02.2008 в 20:06. Причина: Добавлено
а в логах те же гадости остались, наверно перепутали когда загружали.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
нет. это именно те логи(предыдущие я специально удалил чтоб не перепутать). может имеет смысл ещё раз выполнить скрипт?
Добавлено через 2 минуты
на них же дата сознания есть
Добавлено через 23 минуты
делаю новые логи
Последний раз редактировалось nestorsax; 11.02.2008 в 20:47. Причина: Добавлено
Давайте так.
Вначале профиксите
Затем в АВЗO20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Flr18', 4); StopService('Flr18'); DeleteFile('C:\WINDOWS\System32\Drivers\Flr18.sys'); DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); DeleteFile('LogCrypt.dll'); BC_DeleteSvc('Flr18'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Остановка служб Windows с помощью HjJackThis
Для того чтобы пофиксить строку начинающуюся с O23 надо:
1. Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы
aspi113210
5.Нажать кнопку OK
а это всё надо делать?
Уважаемый(ая) nestorsax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.