Junior Member
Вес репутации
59
Помогите избавиться от файла C:\WINDOWS\system32\ftp33.dll
Помогите избавиться от файла C:\WINDOWS\system32\ftp33.dll
"NOD32" определяе его как "Win32/PSW.Agent.NHG_trojan" и успешно удаляет. Но после перезагрузки всё по новой.
"Cureit.exe" Грозит рекламой, но не запускается.
"Касперский Lab Tool" не находит
Извените, если что не так. Обращаюсь в первый раз.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\system32\dpmw32.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\администратор\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\администратор\cftmon.exe
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
TerminateProcessByName('c:\program files\statwinc\execstat.exe');
QuarantineFile('C:\Documents and Settings\Kukushkin_VE\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\dpmw32.exe','');
QuarantineFile('C:\Documents and Settings\администратор\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\ftp33.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Program Files\StatWinC\SWHOOKKM.DLL','');
QuarantineFile('C:\Program Files\StatWinC\ExecStat.exe','');
QuarantineFile('c:\program files\statwinc\execstat.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\program files\statwinc\execstat.exe');
DeleteFile('C:\Program Files\StatWinC\ExecStat.exe');
DeleteFile('C:\Program Files\StatWinC\SWHOOKKM.DLL');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ftp33.dll');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\администратор\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\dpmw32.exe');
DeleteFile('C:\Documents and Settings\Kukushkin_VE\cftmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачайте карантин и повторите логи.
Junior Member
Вес репутации
59
После перезагрузки
AVZ, Cureit, HiJackThis не запускаются, просят выбрать программу для запуска данного файла
Скопируйте нижеприведенный код в текстовый файл с расширением .inf
Код:
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
На больной машине нажмите на этот файл правой кнопкой и выберите "Установить".
Запуск программ должен нормализоваться.