Junior Member
Вес репутации
59
Постоянно запускаются spool.exe, ctfmon
Помогите вылечиться! При запуске компьютера постоянно запускаются и плодятся процессы spool.exe, ctfmon.exe. Проверял cureIt, Nod32. Находит и удаляет файл ftpdll, также находит трояны. В безопасном режиме все вроде бы удаляет, но при перезагрузке опять все повторяется. Плюс постоянно пытается скачаться файл downloader.exe и win32.exe с сайтов Интернета. Высылаю логи
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и интернет!
Пофиксить
Код:
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Татьяна\Local Settings\Application Data\spool.exe
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\ctfmon.exe');
TerminateProcessByName('c:\documents and settings\Татьяна\local settings\application data\spool.exe');
QuarantineFile('LMIinit.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe','');
QuarantineFile('c:\documents and settings\Татьяна\local settings\application data\spool.exe','');
QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
DeleteService('Schedule');
DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('c:\documents and settings\Татьяна\local settings\application data\spool.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Schedule ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22951
Повторите логи.
Последний раз редактировалось Гриша; 16.05.2008 в 15:33 .
Junior Member
Вес репутации
59
Высылаю повторные логи после вышепроделанного. Вроде проблема исчезла
Вложения
Последний раз редактировалось Rene-gad; 17.05.2008 в 23:14 .
Причина: full quote удалена
Почему карантин без пароля?
Junior Member
Вес репутации
59
Виноват, исправлюсь в след.раз
spool.exe- Worm.Win32.Socks.jg (удален)
spool.exe из другой папки,он свежий(удален)
По поводу LMIinit.dll подождем ответа аналитиков,далеко не уходите
Junior Member
Вес репутации
59
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 12 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\localservice\\local settings\\application data\\spool.exe - Worm.Win32.Socks.afs (DrWEB: Trojan.MulDrop.15939) c:\\documents and settings\\татьяна\\local settings\\application data\\spool.exe - Worm.Win32.Socks.afs (DrWEB: Trojan.MulDrop.15939)