Показано с 1 по 9 из 9.

Замучила зараза под именем ftp34.dll и постоянные процессы spools и cftmon. Помогите! sos! (заявка № 22971)

  1. #1
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    5
    Вес репутации
    36

    Thumbs up Замучила зараза под именем ftp34.dll и постоянные процессы spools и cftmon. Помогите! sos!

    Началось все с того, что я открыл несколько окон (более 10) с различными шаблонами дизайна для веб страницы, которуя я создал пару дней назад зарегистрировавшись на сайте www.ru.gg", некоторое время я отсутствовал и когда пришел попытался закрыть одну из страниц и тут случилось "великолепное" появление красного окошка нод32, который известил о такой заразе как C:\WINDOWS\system32\ftp34.dll
    Полтара месяца назад я переустановил виндовс и до этого момента не было ни одного вируса. И вот случилось. Точнее появилось два окна одно за другим. Вот копия того, что отмечено в логе вирусов нод32, когда впервые был обнаружен вирус :
    13.05.2008 22:54:06 AMON file C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: c:\5yu5a0.exe. The file was moved to quarantine. You may close this window.
    13.05.2008 22:54:10 AMON file C:\WINDOWS\system32\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: c:\5yu5a0.exe. The file was moved to quarantine. You may close this window.
    Возможно я убил c:\5yu5a0.exe, точно не помню ну теперь появляется вот такие вот придупреждения
    16.05.2008 2:22:53 AMON file C:\WINDOWS\system32\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: C:\WINDOWS\system32\drivers\spools.exe. The file was moved to quarantine. You may close this window.
    16.05.2008 2:19:07 AMON file C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: C:\WINDOWS\system32\drivers\spools.exe. The file was moved to quarantine. You may close this window.
    Извиняюсь за подробности, просто хочу точно передавать вам смысл. Так вот система стала тормозить нереально. При открытия какой либо программы постоянно появляються эти окна, указанные выше, с предупреждением о вирусе. В диспетчере задач постоянно присутствует процесс spools.exe и грузит процессор на 100%, при открытии какой либо программы или браузера интернет. Иногда их бывает несколько этих spools.exe (более 5), особенно когда загружается виндовс. И пока этот spools не разгрузит процессор, програма не загружается. А также постоянно появляется приложение cftmon в папке C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12, с каким то неизвестным для меня производителем (www.innosetup.com), такого ж производителя имеет файл spools.exe, который находится в system32/drivers. Я постоянно завершаю процессы spools.exe сейчас в диспетчере задач, после того как загружаю эксплорер, для того, чтоб не было хуже. При загрузке системы в автозагрузке regcleaner постоянно обнаружываю два файла cftmon.exe и два файла spools.exe. Я их удаляю, но они снова появляются при загрузке. Короче отключал восстановление системы, сканировал и нодом32 и AVZ и утилитой cureit(старая версия) в итоге ни один антивирус ничего не заметил. Нод убиват зверя ftp34.dll, но он появляется вновь и вновь и вновь, снова и снова эти spools и cftmon. Пытался обновить виндовс, в глупой надежде что поможет, но чудо не свершилось. Что ни удаляй все снова появляется! Нет сил уже бороться с этим чертовым spools. Иногда еще появляються два файла "DAT" mpr и mpr2 перед этим моргают два черных окна, подобных как при вызове cmd. Да еще не грузиться разкладка клавиатуры и антивирус тоже не всегда, хотя они присутствуют в автозагрузке. Да и какой шлюз интернета появляется в сетевых подключениях.
    Возможно я заразился через этот сайт, на котором вебстраницу зарегил (www.ru.gg"). Может там вирусные скрипты или скорее всего на моей вебстранице, которую зарегил через этот сайт.
    Поскажите, пожалуйста, с этим сайтом можно работать или он небезопасен?
    Помогите, пожайлуста! Не могу диплом делать с такой работай компа.
    Вложения Вложения
    Последний раз редактировалось Shu_b; 16.05.2008 в 17:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Пофиксите
    Код:
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\cftmon.exe
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\cftmon.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\srvkp.sys','');
     DeleteFile('C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Schedule');
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22971 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Сделайте новые логи.

    Обновите Ваш Windows, иначе будете частым гостем в этом разделе.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Код:
    Platform: Windows XP  (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    на таком ПК не то, что вирусы - гадюки скоро ползать начнут . СП3 уже неделю как готов, а Вы еще до СП1 не добрались.

  5. #4
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    5
    Вес репутации
    36
    Все выполнил как вы сказали. Вроде де бы все хорошо. Высылаю логи и карантин. Заранее огромное спасибо !!!
    А насчет обновления, оно просто не работало у меня до того как я переустановил винду недавно. А сейчас много проблем, диплом и все некогда... Ну как говорится: "пока гром не грянет, мужик не перекрестится.." Вот и грянул. Все из-за этой беспечности.
    Я вот точно не знаю как до sp3 обновиться, нужно же сначала предидущие сервис паки поставить или как, подскажите, пожайлуста? Как переустановил винду так включил автообновление. Но видно этого маловато будет, видно только критические файлы обновляются.
    Сейчас вот раскладка клавы не загрузилась, а в автозагрузке стоит.
    А как насчет того сайта (www.ru.gg), я мог на нем схватить этот вирус? А то страшно уже туда заходить, у меня там аккаунт зарегин.
    moderated:::опять активная ссылка в сообщении! Не даю бан только потому, что земляк
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 16.05.2008 в 20:07.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от den_ver Посмотреть сообщение
    А насчет обновления, оно просто не работало у меня до того как я переустановил винду недавно. ....
    Я вот точно не знаю как до sp3 обновиться, нужно же сначала предидущие сервис паки поставить или как
    СП3 можно ставить на систему без установки предыдущих обновлений. Нужно же его ставить до установки всех приложений и самое главное - до первго соединения с интернетом.
    Сейчас вот раскладка клавы не загрузилась, а в автозагрузке стоит.
    А что у Вас управляет раскладкой клавиатуры?
    А как насчет того сайта (:ww.ru.gg), я мог на нем схватить этот вирус? А то страшно уже туда заходить, у меня там аккаунт зарегин.
    Попробуйте другим проводником (Оперой или Лисой с отключённым скриптингом)
    А в логах сейчас ничего плохого не видно. Но при наличии отсутствия СП3 - это не надолго
    Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 12:23.

  7. #6
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    5
    Вес репутации
    36
    Спасибо!
    Насчет ссылки извиняюсь, не знал что нельзя. Видно правила не изучил по полной. Будем знать.
    А раскладкой управляет khooker.exe. Да это мелочи справлюсь.
    Как ни странно ХНУРЕ заканчиваю, на самом деле и сам бы помаленьку разобрался, да времени в обрез, диплом, работа и т.д и т.п.
    Еще раз всем спс!!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Сейчас у Вас кристально чисто. Если никаких проблем не осталось -
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".


    Было: apcsvra.dll - Trojan.Win32.Pakes.cot
    svchost.exed - P2P-Worm.Win32.Socks.s
    Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 12:23.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    5
    Вес репутации
    36
    Цитата Сообщение от kps Посмотреть сообщение
    Сейчас у Вас кристально чисто.
    Спасибо! Дай бог чтоб так было всегда!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\chameleon.chameleo-lcaz12\\cftmon.exe - Worm.Win32.Socks.kl (DrWEB: Trojan.DownLoader.61665)
      2. c:\\windows\\system32\\config\\systemprofile\\cftm on.exe - Worm.Win32.Socks.kl (DrWEB: Trojan.DownLoader.61665)
      3. c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.kl (DrWEB: Trojan.DownLoader.61665)
      4. d:\\documents and settings\\default user\\svchost.exe - P2P-Worm.Win32.Socks.s (DrWEB: Trojan.DownLoader.63152)
      5. d:\\documents and settings\\vnu\\svchost.exe - P2P-Worm.Win32.Socks.s (DrWEB: Trojan.DownLoader.63152)
      6. d:\\program files\\common files\\system\\apcsvra.dll - Trojan.Win32.Pakes.cot (DrWEB: Trojan.Inject.302
      7. d:\\winnt\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.s (DrWEB: Trojan.DownLoader.63152)
      8. \\fik.exe - Trojan-Downloader.Win32.Small.wje (DrWEB: BackDoor.FireOn.45)
      9. \\ibrp4d.exe - not-virus:Hoax.Win32.Renos.cok (DrWEB: Trojan.Fakealert.569)
      10. \\xmmm.exe - Trojan-Downloader.Win32.Small.iwr (DrWEB: Trojan.DownLoader.49837)
      11. \\6ha61r.exe - Trojan-Downloader.Win32.Agent.qmf (DrWEB: Trojan.DownLoader.62410)


  • Уважаемый(ая) den_ver, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблема с cftmon и ftp34.dll
      От Nikleo в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 05:53
    2. Проблема с ftp34.dll spools.exe cftmon.exe
      От Andrew164214 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:38
    3. Процессы spols.exe и cftmon.exe
      От derrot в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:24
    4. Помогите побороть cftmon.exe b spools.exe
      От numlock2 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:17
    5. Замучила зараза под именем ftp34.dll
      От DenisDen в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.07.2008, 16:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00815 seconds with 17 queries