-
Junior Member
- Вес репутации
- 58
Обнаружена куча вирусов.
Добрый день!
Проверил систему(Windows Home Edition SP2), обнаружилось куча вирусов. Безопасный режим не запускается(уходит в перезагруз), постоянно выскакивает окно "ошибка приложения system32". ИЕ запускает только стартовую страницу, затем ни одна страница не запускается. Посмотрите логи, пожалуйста.
Последний раз редактировалось dendo; 16.08.2010 в 11:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
DeleteService('UIUSys');
QuarantineFile('c:\documents and settings\Владелец\local settings\application data\spool.exe','');
QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('c:\documents and settings\Владелец\local settings\application data\spool.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Поставьте правильную дату в компьютере.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Обновите Java.
-
-
Junior Member
- Вес репутации
- 58
Карантин
Файл сохранён как090618_125114_virus_4a3a00029e03a.zipРазмер файла4039MD50b5d70f8d33745bb5e8557396d3f8dad
Новый лог положил, Адобе удалил, Джаву обновил.
Последний раз редактировалось dendo; 16.08.2010 в 11:08.
-
Зашли из под другой учетной записи? В ней свой таракан сидел. Он запустился и, наверное, перезаразил первую.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\Владелец\local settings\application data\spool.exe');
DeleteFile('C:\Documents and Settings\Den\Local Settings\Application Data\spool.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Скачайте файл http://narod.ru/disk/9487011000/avz-poly.exe.html (это более свежая версия AVZ, но в ней не обновляются базы). Сохраните его в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
-
-
Junior Member
- Вес репутации
- 58
"Скачайте файл http://narod.ru/disk/9487011000/avz-poly.exe.html"
Не качается.
-
Там надо цифровой код ввести.
-
-
Junior Member
- Вес репутации
- 58
Выполнил скрипт, скачал, запустил.
Последний раз редактировалось dendo; 16.08.2010 в 11:08.
-
Чудеса. Трояна что-то восстанавливает. Либо не закрытая уязвимость Windows, либо зараженная флешка...
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('iPod Service');
QuarantineFile('C:\WINDOWS\system32\drivers\qmofiltr.sys','');
QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('c:\documents and settings\den\local settings\application data\spool.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Den\Local Settings\Application Data\spool.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
-
-
Junior Member
- Вес репутации
- 58
Капантин выложил
Файл сохранён как
090618_153912_virus_4a3a27609b4eb.zipРазмер файла55114MD56bf554479d15783b9fdafba90f0c3cbd
-
c:\windows\system32\drivers\ctfmon.exe = Worm.Win32.Socks.akn
Worm говорит, что этот файл может распространятся сам собой (как не знаю).
Установите антивирус, которые его знает: http://www.virustotal.com/ru/analisi...803-1245333935
-
-
Junior Member
- Вес репутации
- 58
Поставил каспер, накатил 3-й сервис пак. Проблемы ушли. Появились новые. Виснет при перезагрузке. При выключении нормально.
Добавлено через 4 часа 28 минут
Тему можно закрывать.
Последний раз редактировалось dendo; 19.06.2009 в 15:03.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ctfmon.exe - Worm.Win32.Socks.akn ( DrWEB: Trojan.PWS.Pace, BitDefender: Win32.Worm.Socks.BU )
- c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.agct ( DrWEB: Trojan.PWS.Pace, BitDefender: Win32.Worm.Socks.W )
-