Замучила зараза под именем ftp34.dll и постоянные процессы spools и cftmon. Помогите! sos!
Началось все с того, что я открыл несколько окон (более 10) с различными шаблонами дизайна для веб страницы, которуя я создал пару дней назад зарегистрировавшись на сайте www.ru.gg", некоторое время я отсутствовал и когда пришел попытался закрыть одну из страниц и тут случилось "великолепное" появление красного окошка нод32, который известил о такой заразе как C:\WINDOWS\system32\ftp34.dll
Полтара месяца назад я переустановил виндовс и до этого момента не было ни одного вируса. И вот случилось. Точнее появилось два окна одно за другим. Вот копия того, что отмечено в логе вирусов нод32, когда впервые был обнаружен вирус :
13.05.2008 22:54:06 AMON file C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: c:\5yu5a0.exe. The file was moved to quarantine. You may close this window.
13.05.2008 22:54:10 AMON file C:\WINDOWS\system32\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: c:\5yu5a0.exe. The file was moved to quarantine. You may close this window.
Возможно я убил c:\5yu5a0.exe, точно не помню ну теперь появляется вот такие вот придупреждения
16.05.2008 2:22:53 AMON file C:\WINDOWS\system32\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: C:\WINDOWS\system32\drivers\spools.exe. The file was moved to quarantine. You may close this window.
16.05.2008 2:19:07 AMON file C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan quarantined - deleted CHAMELEO-1982\Chameleon Event occurred on a new file created by the application: C:\WINDOWS\system32\drivers\spools.exe. The file was moved to quarantine. You may close this window.
Извиняюсь за подробности, просто хочу точно передавать вам смысл. Так вот система стала тормозить нереально. При открытия какой либо программы постоянно появляються эти окна, указанные выше, с предупреждением о вирусе. В диспетчере задач постоянно присутствует процесс spools.exe и грузит процессор на 100%, при открытии какой либо программы или браузера интернет. Иногда их бывает несколько этих spools.exe (более 5), особенно когда загружается виндовс. И пока этот spools не разгрузит процессор, програма не загружается. А также постоянно появляется приложение cftmon в папке C:\Documents and Settings\Chameleon.CHAMELEO-LCAZ12, с каким то неизвестным для меня производителем (www.innosetup.com), такого ж производителя имеет файл spools.exe, который находится в system32/drivers. Я постоянно завершаю процессы spools.exe сейчас в диспетчере задач, после того как загружаю эксплорер, для того, чтоб не было хуже. При загрузке системы в автозагрузке regcleaner постоянно обнаружываю два файла cftmon.exe и два файла spools.exe. Я их удаляю, но они снова появляются при загрузке. Короче отключал восстановление системы, сканировал и нодом32 и AVZ и утилитой cureit(старая версия) в итоге ни один антивирус ничего не заметил. Нод убиват зверя ftp34.dll, но он появляется вновь и вновь и вновь, снова и снова эти spools и cftmon. Пытался обновить виндовс, в глупой надежде что поможет, но чудо не свершилось. Что ни удаляй все снова появляется! Нет сил уже бороться с этим чертовым spools. Иногда еще появляються два файла "DAT" mpr и mpr2 перед этим моргают два черных окна, подобных как при вызове cmd. Да еще не грузиться разкладка клавиатуры и антивирус тоже не всегда, хотя они присутствуют в автозагрузке. Да и какой шлюз интернета появляется в сетевых подключениях.
Возможно я заразился через этот сайт, на котором вебстраницу зарегил (www.ru.gg"). Может там вирусные скрипты или скорее всего на моей вебстранице, которую зарегил через этот сайт.
Поскажите, пожалуйста, с этим сайтом можно работать или он небезопасен?
Помогите, пожайлуста! Не могу диплом делать с такой работай компа.
Последний раз редактировалось Shu_b; 16.05.2008 в 18:41.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Сделайте новые логи.
Обновите Ваш Windows, иначе будете частым гостем в этом разделе.
Все выполнил как вы сказали. Вроде де бы все хорошо. Высылаю логи и карантин. Заранее огромное спасибо !!!
А насчет обновления, оно просто не работало у меня до того как я переустановил винду недавно. А сейчас много проблем, диплом и все некогда... Ну как говорится: "пока гром не грянет, мужик не перекрестится.." Вот и грянул. Все из-за этой беспечности.
Я вот точно не знаю как до sp3 обновиться, нужно же сначала предидущие сервис паки поставить или как, подскажите, пожайлуста? Как переустановил винду так включил автообновление. Но видно этого маловато будет, видно только критические файлы обновляются.
Сейчас вот раскладка клавы не загрузилась, а в автозагрузке стоит.
А как насчет того сайта (www.ru.gg), я мог на нем схватить этот вирус? А то страшно уже туда заходить, у меня там аккаунт зарегин.
moderated:::опять активная ссылка в сообщении! Не даю бан только потому, что земляк
Последний раз редактировалось Rene-gad; 16.05.2008 в 21:07.
А насчет обновления, оно просто не работало у меня до того как я переустановил винду недавно. ....
Я вот точно не знаю как до sp3 обновиться, нужно же сначала предидущие сервис паки поставить или как
СП3 можно ставить на систему без установки предыдущих обновлений. Нужно же его ставить до установки всех приложений и самое главное - до первго соединения с интернетом.
Сейчас вот раскладка клавы не загрузилась, а в автозагрузке стоит.
А что у Вас управляет раскладкой клавиатуры?
А как насчет того сайта (:ww.ru.gg), я мог на нем схватить этот вирус? А то страшно уже туда заходить, у меня там аккаунт зарегин.
Попробуйте другим проводником (Оперой или Лисой с отключённым скриптингом)
А в логах сейчас ничего плохого не видно. Но при наличии отсутствия СП3 - это не надолго
Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 13:23.
Спасибо!
Насчет ссылки извиняюсь, не знал что нельзя. Видно правила не изучил по полной. Будем знать.
А раскладкой управляет khooker.exe. Да это мелочи справлюсь.
Как ни странно ХНУРЕ заканчиваю, на самом деле и сам бы помаленьку разобрался, да времени в обрез, диплом, работа и т.д и т.п.
Еще раз всем спс!!
Сейчас у Вас кристально чисто. Если никаких проблем не осталось -
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: