Показано с 1 по 17 из 17.

svhost.exe,ftpdll.dll и другое зверье (заявка № 18156)

  1. #1
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38

    Exclamation svhost.exe,ftpdll.dll и другое зверье

    Просканировал NOD-ом, нашел какие-то левые exe-ки типа
    1345465.exe и другие. Появилась новая служба WWWProvider и в процессах висят непонятные exe. Логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe','');
     SetServiceStart('Schedule', 4);
     DeleteService('Schedule');
     QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('c:\windows\system32\bim\svchost.exe','');
     DeleteFile('c:\windows\system32\drivers\spools.exe');
     DeleteFile('c:\windows\system32\bim\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
     DeleteFile('C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Пока отослал карантин...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Backdoor.Win32.Agent.eom C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe
    Backdoor.Win32.Agent.eom C:\WINDOWS\system32\drivers\spools.exe
    c:\windows\system32\bim\svchost.exe - cвежий
    C:\WINDOWS\system32\sysfldr.dll - тоже

  6. #5
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Повторные логи
    Вложения Вложения
    Последний раз редактировалось drongo; 17.02.2008 в 01:41.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    virusinfo_cure из поста уберите, логи сейчас гляну

    Добавлено через 4 минуты

    Выполните
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr');                                                       
     QuarantineFile('C:\Documents and Settings\Дима2\ftpdll.dll','');
     QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
     DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
     BC_ImportAll; 
    BC_DeleteFile('C:\WINDOWS\system32\sysfldr.dll');    
    BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пришлите новый карантин
    Последний раз редактировалось rubin; 16.02.2008 в 22:42. Причина: Добавлено

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Карантин необходимо присылать по ссылке сверху..

    Добавлено через 1 минуту

    Отсюда удалите...
    Последний раз редактировалось akoK; 16.02.2008 в 23:01. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Высылаю новый карантин. Чего-то не выходит удалить вложение. Извиняюсь, если что-то не так.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    ftpdll.dll в карантин не дался...
    Сервис - Поиск файлов на диске
    Поищите и закарантиньте вручную. Потом пришлите

  11. #10
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Файл находит, помещаю в карантин, но размер по-прежнему равен 0 байт. Может стоит его удалить?
    Или в безопасном режиме попробовать поместить его в карантин?
    Последний раз редактировалось luk; 16.02.2008 в 23:17.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    попробуйте его просто заархивировать с паролем virus и прислать ....

  13. #12
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Архивации поддался только в безопасном режиме. А так писал, что отказано в доступе. Файл отослал.


    Сорри - пароль на архив virus, только в русской раскладке... (мшкгы)

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пароль какой ?

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Присланный вами файл ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
    Выполните в АВЗ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
     DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
     BC_ImportAll; 
    BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
    BC_DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
    BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Последний раз редактировалось wise-wistful; 17.02.2008 в 20:37.

  16. #15
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    38
    Выполните в АВЗ

    Код:
    begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll',''); DeleteFile('C:\WINDOWS\system32\ftpdll.dll',''); BC_ImportAll; BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');BC_DeleteFile('C:\WIND OWS\system32\ftpdll.dll');BC_Activate; ExecuteSysClean; RebootWindows(true);end.
    Пишет, что ошибка в позиции 4:12

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Поправил выполняйте

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
     DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
     BC_ImportAll;
    BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');
    BC_DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
    BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Microsoft Most Valuable Professional in Consumer Security

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\дима2\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.hs (DrWEB: BackDoor.FireOn)
      2. c:\\windows\\system32\\bim\\svchost.exe - Trojan-Downloader.Win32.Agent.jeq (DrWEB: Trojan.DownLoader.49495)
      3. c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.hs (DrWEB: BackDoor.FireOn)
      4. c:\\windows\\system32\\sysfldr.dll - Trojan-Downloader.Win32.Small.ilt (DrWEB: Trojan.DownLoader.3851


  • Уважаемый(ая) luk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зверье или баги Outpost?
      От Brodig в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.08.2010, 08:08
    2. Зверье мое
      От Ven в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:19
    3. Проблема в XP SP1? зверье поигралось
      От Aviator в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 07:44
    4. Зверье мое
      От Ven в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:49
    5. Проверьте, пожалуйста, зверье или нет.
      От Dryunja1961 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 01:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01060 seconds with 17 queries