Совсем замучил, сначала пытался своими силами удалить не получилось... Потом попал на Ваш сайт. Пытался найти схожие ситуации, скрипты. Прочел правило... Вот, высылаю файлы.
Совсем замучил, сначала пытался своими силами удалить не получилось... Потом попал на Ваш сайт. Пытался найти схожие ситуации, скрипты. Прочел правило... Вот, высылаю файлы.
Последний раз редактировалось anton_dr; 07.04.2008 в 12:43.
Уберите virusinfo_cure.zip из темы, он высылается по ссылке вверху страницы http://virusinfo.info/upload_virus.php?tid=19557
Добавлено через 7 минут
Выполните в АВЗ
Загрузите карантин согласно приложению 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\winnt\system32\drivers\spools.exe'); TerminateProcessByName('c:\documents and settings\9.5.nsg-tpk\local settings\application data\cftmon.exe'); QuarantineFile('D:\autorun.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\WINNT\system32\cpadvai.dll',''); QuarantineFile('c:\winnt\system32\drivers\spools.exe',''); QuarantineFile('c:\documents and settings\9.5.nsg-tpk\local settings\application data\cftmon.exe',''); DeleteFile('c:\documents and settings\9.5.nsg-tpk\local settings\application data\cftmon.exe'); DeleteFile('c:\winnt\system32\cssrss.exe'); DeleteFile('c:\winnt\system32\drivers\spools.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\autorun.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи
Последний раз редактировалось wise-wistful; 11.03.2008 в 15:33. Причина: Добавлено
Не удается удалить "virusinfo_cure.zip". Говорит что я не имею прав на эту операцию или ..
DameWare устанавливалась Вами?
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\3.1.nsg-tpk\local settings\application data\cftmon.exe'); QuarantineFile('C:\WINNT\system32\drivers\spools.exe',''); QuarantineFile('C:\Documents and Settings\3.1.NSG-TPK\ftpdll.dll',''); QuarantineFile('c:\documents and settings\3.1.nsg-tpk\local settings\application data\cftmon.exe',''); DeleteFile('c:\documents and settings\3.1.nsg-tpk\local settings\application data\cftmon.exe'); DeleteFile('C:\Documents and Settings\3.1.NSG-TPK\ftpdll.dll'); DeleteFile('C:\WINNT\system32\drivers\spools.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\autorun.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Диск Д - это что?Код:O4 - HKLM\..\Run: [ntuser] C:\WINNT\system32\drivers\spools.exe O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\3.1.NSG-TPK\Local Settings\Application Data\cftmon.exe O20 - Winlogon Notify: partnershipreg - C:\WINNT\
Повторите логи
DameWare устанавливалась нами. Диск D флешка
O4 - HKLM\..\Run: [ntuser] C:\WINNT\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\3.1.NSG-TPK\Local Settings
Не нашел в программе пути, только
O20 - Winlogon Notify: partnershipreg - C:\WINNT\
Удалил.
autorun.exe, cftmon.exe, spools.exe - Worm.Win32.Socks.h, cssrss.exe - Backdoor.Win32.Agent.fdo, ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Практически всё. Так сказать контрольный:
Вы при выполнении предложенных скриптов выполняете их с флешкой?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\autorun.inf'); DeleteFile('C:\WINNT\system32\ftpdll.dll') BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи, надеюсь в последний раз.
Все хорошо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\3.1.nsg-tpk\\ftpdll.dll - Worm.Win32.Socks.r (DrWEB: Trojan.DownLoader.44897)
- c:\\documents and settings\\3.1.nsg-tpk\\local settings\\application data\\cftmon.exe - Trojan-Downloader.Win32.Small.ipy (DrWEB: Trojan.DownLoader.49367)
- c:\\documents and settings\\9.5.nsg-tpk\\local settings\\application data\\cftmon.exe - Trojan-Downloader.Win32.Small.ipy (DrWEB: Trojan.DownLoader.49367)
- c:\\winnt\\system32\\cssrss.exe - Backdoor.Win32.Agent.fdo (DrWEB: Trojan.Spambot.3085)
- c:\\winnt\\system32\\drivers\\spools.exe - Trojan-Downloader.Win32.Small.ipy (DrWEB: Trojan.DownLoader.49367)
- d:\\autorun.exe - Trojan-Downloader.Win32.Small.ipy (DrWEB: Trojan.DownLoader.49367)
Уважаемый(ая) SYSP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.