Обнаружена куча вирусов.
Добрый день!
Проверил систему(Windows Home Edition SP2), обнаружилось куча вирусов. Безопасный режим не запускается(уходит в перезагруз), постоянно выскакивает окно "ошибка приложения system32". ИЕ запускает только стартовую страницу, затем ни одна страница не запускается. Посмотрите логи, пожалуйста.
Последний раз редактировалось dendo; 16.08.2010 в 11:08.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); SetAVZPMStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); DeleteService('UIUSys'); QuarantineFile('c:\documents and settings\Владелец\local settings\application data\spool.exe',''); QuarantineFile('c:\windows\system32\drivers\ctfmon.exe',''); DeleteFile('c:\windows\system32\drivers\ctfmon.exe'); DeleteFile('c:\documents and settings\Владелец\local settings\application data\spool.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Поставьте правильную дату в компьютере.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Обновите Java.
Карантин
Файл сохранён как090618_125114_virus_4a3a00029e03a.zipРазмер файла4039MD50b5d70f8d33745bb5e8557396d3f8dad
Новый лог положил, Адобе удалил, Джаву обновил.
Последний раз редактировалось dendo; 16.08.2010 в 11:08.
Зашли из под другой учетной записи? В ней свой таракан сидел. Он запустился и, наверное, перезаразил первую.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('c:\documents and settings\Владелец\local settings\application data\spool.exe'); DeleteFile('C:\Documents and Settings\Den\Local Settings\Application Data\spool.exe'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скачайте файл http://narod.ru/disk/9487011000/avz-poly.exe.html (это более свежая версия AVZ, но в ней не обновляются базы). Сохраните его в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
"Скачайте файл http://narod.ru/disk/9487011000/avz-poly.exe.html"
Не качается.
Там надо цифровой код ввести.
Выполнил скрипт, скачал, запустил.
Последний раз редактировалось dendo; 16.08.2010 в 11:08.
Чудеса. Трояна что-то восстанавливает. Либо не закрытая уязвимость Windows, либо зараженная флешка...
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ClearQuarantine; DeleteService('iPod Service'); QuarantineFile('C:\WINDOWS\system32\drivers\qmofiltr.sys',''); QuarantineFile('c:\windows\system32\drivers\ctfmon.exe',''); DeleteFile('c:\windows\system32\drivers\ctfmon.exe'); DeleteFile('c:\documents and settings\den\local settings\application data\spool.exe'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe'); DeleteFile('C:\Documents and Settings\Den\Local Settings\Application Data\spool.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Капантин выложил
Файл сохранён как
090618_153912_virus_4a3a27609b4eb.zipРазмер файла55114MD56bf554479d15783b9fdafba90f0c3cbd
c:\windows\system32\drivers\ctfmon.exe = Worm.Win32.Socks.akn
Worm говорит, что этот файл может распространятся сам собой (как не знаю).
Установите антивирус, которые его знает: http://www.virustotal.com/ru/analisi...803-1245333935
Поставил каспер, накатил 3-й сервис пак. Проблемы ушли. Появились новые. Виснет при перезагрузке. При выключении нормально.
Добавлено через 4 часа 28 минут
Тему можно закрывать.
Последний раз редактировалось dendo; 19.06.2009 в 15:03. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ctfmon.exe - Worm.Win32.Socks.akn ( DrWEB: Trojan.PWS.Pace, BitDefender: Win32.Worm.Socks.BU )
- c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.agct ( DrWEB: Trojan.PWS.Pace, BitDefender: Win32.Worm.Socks.W )
Уважаемый(ая) dendo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
