Просканировал NOD-ом, нашел какие-то левые exe-ки типа
1345465.exe и другие. Появилась новая служба WWWProvider и в процессах висят непонятные exe. Логи прилагаю.
Просканировал NOD-ом, нашел какие-то левые exe-ки типа
1345465.exe и другие. Появилась новая служба WWWProvider и в процессах висят непонятные exe. Логи прилагаю.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe',''); SetServiceStart('Schedule', 4); DeleteService('Schedule'); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('c:\windows\system32\bim\svchost.exe',''); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('c:\windows\system32\bim\svchost.exe'); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Пока отослал карантин...
Backdoor.Win32.Agent.eom C:\Documents and Settings\Дима2\Local Settings\Application Data\cftmon.exe
Backdoor.Win32.Agent.eom C:\WINDOWS\system32\drivers\spools.exe
c:\windows\system32\bim\svchost.exe - cвежий
C:\WINDOWS\system32\sysfldr.dll - тоже
Повторные логи
Последний раз редактировалось drongo; 17.02.2008 в 01:41.
virusinfo_cure из поста уберите, логи сейчас гляну
Добавлено через 4 минуты
Выполните
Пришлите новый карантинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr'); QuarantineFile('C:\Documents and Settings\Дима2\ftpdll.dll',''); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); BC_ImportAll; BC_DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось rubin; 16.02.2008 в 22:42. Причина: Добавлено
Карантин необходимо присылать по ссылке сверху..
Добавлено через 1 минуту
Отсюда удалите...
Последний раз редактировалось akoK; 16.02.2008 в 23:01. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Высылаю новый карантин. Чего-то не выходит удалить вложение. Извиняюсь, если что-то не так.
ftpdll.dll в карантин не дался...
Сервис - Поиск файлов на диске
Поищите и закарантиньте вручную. Потом пришлите
Файл находит, помещаю в карантин, но размер по-прежнему равен 0 байт. Может стоит его удалить?
Или в безопасном режиме попробовать поместить его в карантин?
Последний раз редактировалось luk; 16.02.2008 в 23:17.
попробуйте его просто заархивировать с паролем virus и прислать ....
Архивации поддался только в безопасном режиме. А так писал, что отказано в доступе. Файл отослал.
Сорри - пароль на архив virus, только в русской раскладке... (мшкгы)
пароль какой ?
Присланный вами файл ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Выполните в АВЗ
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); BC_ImportAll; BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll'); BC_DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось wise-wistful; 17.02.2008 в 20:37.
Пишет, что ошибка в позиции 4:12Выполните в АВЗ
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll',''); DeleteFile('C:\WINDOWS\system32\ftpdll.dll',''); BC_ImportAll; BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll');BC_DeleteFile('C:\WIND OWS\system32\ftpdll.dll');BC_Activate; ExecuteSysClean; RebootWindows(true);end.
Поправил выполняйте
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); BC_ImportAll; BC_DeleteFile('C:\Documents and Settings\Дима2\ftpdll.dll'); BC_DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Microsoft Most Valuable Professional in Consumer Security
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\дима2\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.hs (DrWEB: BackDoor.FireOn)
- c:\\windows\\system32\\bim\\svchost.exe - Trojan-Downloader.Win32.Agent.jeq (DrWEB: Trojan.DownLoader.49495)
- c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.hs (DrWEB: BackDoor.FireOn)
- c:\\windows\\system32\\sysfldr.dll - Trojan-Downloader.Win32.Small.ilt (DrWEB: Trojan.DownLoader.3851
Уважаемый(ая) luk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.