Outpost Firewall определяет ftpdll.dll как spyware. Вроде бы удаляет его и просит перезагрузится. После перезагрузки этот файл снова на месте. Помогите справится с этой заразой.
Outpost Firewall определяет ftpdll.dll как spyware. Вроде бы удаляет его и просит перезагрузится. После перезагрузки этот файл снова на месте. Помогите справится с этой заразой.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\DCR.sys',''); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); QuarantineFile('c:\windows\system32\drivers\spools.exe',''); QuarantineFile('c:\program files\drivecrypt\dcrserv.exe',''); QuarantineFile('c:\documents and settings\sasha\local settings\application data\cftmon.exe',''); DeleteFile('c:\documents and settings\sasha\local settings\application data\cftmon.exe'); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
Спасибо, помогло!
Обязательно, отключайте оутпост!
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Добавлено через 49 секундКод:O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe (User 'Default user')
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\DOCUME~1\SASHA\LOCALS~1\TEMP\MBX@604@BC2558.###',''); DeleteFile('C:\DOCUME~1\SASHA\LOCALS~1\TEMP\MBX@604@BC2558.###'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\Documents and Settings\LocalService\ftpdll.dll'); DeleteFile('C:\Documents and Settings\sasha\ftpdll.dll'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18785
Повторите логи.
Последний раз редактировалось akoK; 27.02.2008 в 22:43. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
c:\documents and settings\sasha\local settings\application data\cftmon.exe Backdoor.Win32.Agent.etc
c:\windows\system32\drivers\spools.exe Backdoor.Win32.Agent.etc
C:\WINDOWS\system32\Drivers\DCR.sys -чистый
c:\program files\drivecrypt\dcrserv.exe- чистый
как то не совсем корректно выполняются у меня скрипты. После выполнения скрипта вылазит сообщение Failed to set data for "DisplayName". Компьютер сам не перезагружается, приходится вручную
Оутпост отключили? Совсем.
Microsoft Most Valuable Professional in Consumer Security
скрипты у вас не коректно работают из-за аутпоста ...
выполните скрипт ...
повторите hijackthis.logКод:begin BC_DeleteSvc('Schedule'); BC_Activate; RebootWindows(true); end.
Да, вот так выполняется и перезагружаеся
ничего подозрительного .... какие-то проблемы остались ?
Нет все работает нормально. Огромное спасибо за помощь и терпение
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.e (DrWEB: Trojan.DownLoader.4936
- c:\\documents and settings\\sasha\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.e (DrWEB: Trojan.DownLoader.4936
- c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.e (DrWEB: Trojan.DownLoader.4936
Уважаемый(ая) kuznec-off, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.