Этот процес "cftmon.exe" появляется в процессах примерно в количестве 5 штук. как я посмотрел достаточно распранненая проблема.
Этот процес "cftmon.exe" появляется в процессах примерно в количестве 5 штук. как я посмотрел достаточно распранненая проблема.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\AL34\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); QuarantineFile('C:\WINDOWS\system32\mplink.dll',''); QuarantineFile('c:\windows\system32\drivers\spools.exe',''); QuarantineFile('c:\documents and settings\al34\local settings\application data\cftmon.exe',''); DeleteFile('c:\documents and settings\al34\local settings\application data\cftmon.exe'); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); DeleteFile('C:\DOCUME~1\AL34\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ftpdll.bak'); DeleteFile('C:\WINDOWS\system32\mplink.dll'); BC_ImportAll; BC_DeleteSvc('Schedule'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18779
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. Повторите логи с п.10 ПравилКод:O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\AL34\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\AL34\Local Settings\Application Data\cftmon.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O20 - Winlogon Notify: mplink - C:\WINDOWS\SYSTEM32\mplink.dll
Спасибо проблема решена!!!
Рано! Повторите логи с п.10 Правил
virusinfo_cure.zip - это карантин удалите!
Карантин грузим по ссылке
http://virusinfo.info/upload_virus.php?tid=18779
Microsoft Most Valuable Professional in Consumer Security
новые логи залиты.
C:\WINDOWS\system32\mplink.dll - Backdoor.Win32.Agent.eqw
c:\windows\system32\drivers\spools.exe - Backdoor.Win32.Agent.etc
c:\documents and settings\al34\local settings\application data\cftmon.exe - Backdoor.Win32.Agent.etc
Добавлено через 2 минуты
Уфф давайте отделим курицу от яйца.....логи постим в сообщение, а карантин заливаем по ссылке сверхувирлабу ваши логи совсем не нужны.
Добавлено через 3 минуты
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: mplink - mplink.dll (file missing)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); BC_ImportDeletedList; DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('mplink.dll'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Повторить логи с п.10 Правил
Последний раз редактировалось akoK; 27.02.2008 в 22:19. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
залил
C:\Documents and Settings\AL34\Рабочий стол\H\1.bat - это Вам знакомо?
Если да, то не вижу ничего подозрительного.
Microsoft Most Valuable Professional in Consumer Security
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\al34\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.e (DrWEB: Trojan.DownLoader.4936
- c:\\documents and settings\\localservice\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.e (DrWEB: Trojan.DownLoader.4936
- c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.e (DrWEB: Trojan.DownLoader.4936
- c:\\windows\\system32\\mplink.dll - Backdoor.Win32.Agent.eqw (DrWEB: Trojan.PWS.GoldSpy)
Уважаемый(ая) AL34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.