Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

help ctfmon32.dll (заявка № 7274)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64

    Exclamation help ctfmon32.dll

    НОД постоянно выдавал сведения о тревоге!

    Типа вот я нашел червя в файле С\виндовз\ктфмон32.длл
    и сейчас я его удалю! Нажимаешь удалить !
    несколько секунд покоя и снова и снова!
    пишет что после перезагрузки удалится!
    Ни фига!

    Так вот впринципе после проверки AVZшкой пока больше не было тревог!
    Ну все равно посматрите есть что-нибудь интересное в моих ЛОГах


    Заранее большое спасибо!!!
    Последний раз редактировалось drug; 25.12.2006 в 21:50.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    + Panda стала ругатся на вирус Trj/Akill.E
    Местонахождение с:\a.bat
    Вложения Вложения
    Последний раз редактировалось drug; 26.12.2006 в 06:56.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Пофиксите в программе Hijackthis следующие строчки:
    O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
    O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
    O4 - HKLM\..\Run: [Microsoftf DDEs Control] soff.pif
    O4 - HKLM\..\Run: [Winsock2 wqr1s] M32\LOL.EXE
    O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] soff.pif
    O23 - Service: Windows MSN - Unknown owner - C:\WINDOWS\wmsnlivexp.exe
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    Если не знаете, что это - "C:\Documents and Settings\Администратор\Мои документы\ЧАЧА\intercom\intercom.exe" - пофиксите так же строчку
    O4 - HKLM\..\Run: [intercom_chat_prg] "C:\Documents and Settings\Администратор\Мои документы\ЧАЧА\intercom\intercom.exe"
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('\??\C:\WINDOWS\System32\lzx32.sys' ,'');
    QuarantineFile('soff.pif','');
    QuarantineFile('mslaugh.exe','');
    QuarantineFile('M32\LOL.EXE','');
    QuarantineFile('C:\WINDOWS\skynetave.exe','');
    QuarantineFile('\SystemRoot\System32\Drivers\xmass csi.sys','');
    QuarantineFile('C:\WINDOWS\wmsnlivexp.exe','');
    DeleteFile('C:\WINDOWS\System32\NavLogon.dll');
    DeleteFile('C:\WINDOWS\wmsnlivexp.exe');
    DeleteFile('C:\WINDOWS\skynetave.exe');
    DeleteFile('M32\LOL.EXE');
    DeleteFile('mslaugh.exe');
    DeleteFile('soff.pif');
    DeleteFile('\??\C:\WINDOWS\System32\lzx32.sys');
    DeleteFile('C:\WINDOWS\system32\lzx32.sys');
    DeleteFile('C:\WINDOWS\system32:lzx32.sys');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\PE386');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\PE386');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\lzx32');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\zx32');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\msguard');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\msguard');
    ExecuteSysClean;
    AutoFixSPI;
    RebootWindows(true);
    end.
    После перезагрузки вышлите содержимое карантина, как написано в п. 8 приложения 2 правил, и сделайте новые логи (п.п. 8 - 13 правил)
    Последний раз редактировалось Numb; 26.12.2006 в 16:28. Причина: Скрипт для AVZ исправлен

  5. #4
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    Цитата Сообщение от Numb Посмотреть сообщение
    Пофиксите в программе Hijackthis следующие строчки:

    Если не знаете, что это - "C:\Documents and Settings\Администратор\Мои документы\ЧАЧА\intercom\intercom.exe" - пофиксите так же строчку
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт
    Выполнил я эти действия, но когда компьютер стал перезагружаться
    и появилась табличка сохранение параметров на этом все замерло
    минут на двадцать после чего была нажата кнопочка перезагрузки.

    Когда компьютер запустился стали появляться предупреждения АД АВАРЕ о изминении регистра я нажал БЛОК

    Ну папка с карантинами была пуста

    Может я туплю или что?

    Что делать?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Именно. Тот скрипт, который вам дали, чистит реестр. Перед его выполнением отключите защиту реестра. А лучше вообще увольте с компьютера Ad Aware

  7. #6
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    Вот логи!

    А собственно какие файлы присылать!

    Папка карантин пустая?
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    То, что присылать нечего - плохо. А вот того, что было в первых логах, я уже не вижу. Из того что вижу: у вас в памяти в первых логах висело 2,5 антивируса - Панда, НОД и кусок Нортона. Сейчас осталось два - меньше, но все-равно много. А вот Ад Аваре я не видел ни в первых, ни во вторых логах. Откуда взялась и куда делась? И еще: Windows XP SP1 ОФИЦИАЛЬНО не поддерживается Microsoft. Крайне желательно установить SP2+все последующие дополнения. Только имейте в виду, что в вашем случае после установки SP2 потребуется активация Windows.
    Я, вроде бы, ничего подозрительного больше не вижу. На всякий случай, скачайте CureIt! и проверьте им систему в безопасном режиме.
    Так же большая просьба к более опытным хелперам посмотреть повторные логи и дать свои рекомендации - мог что-то и пропустить.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Следы AdAware имеются:
    Код:
    O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
    Самой в памяти не видно.
    NOD и Панда висят одновременно, подтверждаю.
    Зверей, по крайней мере явных, не вижу.

    AVZ - Файл - Выполнить скрипт:
    Код:
    begin
      SearchRootkit(true,true);
      QuarantineFile('xmasscsi.sys','');
      RebootWindows(true);
    end.
    Если в карантине что-то окажется, пришлите. Страничка для отправки переехала с HTTPS на HTTP.

  10. #9
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    Цитата Сообщение от pig Посмотреть сообщение
    Если в карантине что-то окажется, пришлите.
    К сожалению в карантине опять пусто!

    Пока все работает нормально!

    Всем спасибо!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Ладно, будем считать, что это безопасный кусок Алкоголя.

  12. #11
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64

    Продолжение войны

    После последнего сообщения в этой теме
    панда постоянно находила вирус и лечила (до того пока я ее не снес ) файл:

    C:\WINDOWS\system32\sfc_os.dll

    Имя вируса:Trj/Sfc.A.mod

    Есть подозрение что все таки что-то есть в моем компьютере!

    Помагите люди добрые!
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    sfc_os.dll - 137Kb

    Найдите копии файла поиском по системной директроии (например - в C:\WINDOWS\ServicePackFiles\i386) и замените повреждённый.

    Повреждённый пришлите согласно приложени 2 правил.

  14. #13
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    файл отослал

    Результат загрузки
    Файл сохранён как 070109_140457_virus_45a3f569b5d7f.zip
    Размер файла 58260
    MD5 afea26eea9df42517c55dbb8cb41b755

  15. #14
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    Цитата Сообщение от Shu_b Посмотреть сообщение

    Найдите копии файла поиском по системной директроии (например - в C:\WINDOWS\ServicePackFiles\i386)
    AVZ нашла копию в папке C:\WINDOWS\system32\dllcache

    но у меня нет этой папки

  16. #15
    Geser
    Guest
    но у меня нет этой папки
    Сдли нашла значит есть. Вы её не видите, видимо потому что не включено отображение скрытых и системных папок.

  17. #16
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    Цитата Сообщение от Geser Посмотреть сообщение
    Сдли нашла значит есть. Вы её не видите, видимо потому что не включено отображение скрытых и системных папок.
    Да все у меня включено просто нету этой папки и все

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    результаты проверки присланного файла на virustotal:
    AntiVir 7.3.0.21 01.09.2007 no virus found
    Authentium 4.93.8 01.10.2007 no virus found
    Avast 4.7.892.0 12.30.2006 no virus found
    AVG 386 01.09.2007 no virus found
    BitDefender 7.2 01.10.2007 no virus found
    CAT-QuickHeal 9.00 01.09.2007 no virus found
    ClamAV devel-20060426 01.10.2007 no virus found
    DrWeb 4.33 01.10.2007 no virus found
    eSafe 7.0.14.0 01.10.2007 no virus found
    eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
    eTrust-Vet 30.3.3313 01.09.2007 no virus found
    Ewido 4.0 01.10.2007 no virus found
    Fortinet 2.82.0.0 01.10.2007 suspicious
    F-Prot 3.16f 01.10.2007 no virus found
    F-Prot4 4.2.1.29 01.09.2007 no virus found
    Ikarus T3.1.0.27 01.09.2007 no virus found
    Kaspersky 4.0.2.24 01.10.2007 no virus found
    McAfee 4935 01.09.2007 no virus found
    Microsoft 1.1904 01.10.2007 no virus found
    NOD32v2 1969 01.10.2007 no virus found
    Norman 5.80.02 01.10.2007 no virus found
    Panda 9.0.0.4 01.09.2007 Trj/Sfc.A.mod
    Prevx1 V2 01.10.2007 no virus found
    Sophos 4.13.0 01.05.2007 no virus found
    Sunbelt 2.2.907.0 01.05.2007 no virus found
    TheHacker 6.0.3.146 01.08.2007 no virus found
    UNA 1.83 01.10.2007 no virus found
    VBA32 3.11.2 01.09.2007 no virus found
    VirusBuster 4.3.19:9 01.09.2007 no virus found
    Файл подписан, как защита файлов Windows версия 5.1.2600.1106 (xpsp1.020828-1920). Shu_b говорил, вероятно, про версию 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158 )
    Вероятнее всего, это ложное срабатывание Панды, но все-равно, как уже писалось, на вашу машину КРАЙНЕ ЖЕЛАТЕЛЬНО установить SP2 для Windows XP + все последующие обновления.

  19. #18
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    Ну ладно будем верить в лучшее!

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от drug Посмотреть сообщение
    Да все у меня включено просто нету этой папки и все
    System32\dllcache - системная папка. Обязана быть.

  21. #20
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    64
    Цитата Сообщение от pig Посмотреть сообщение
    System32\dllcache - системная папка. Обязана быть.
    ДА все я нашел ее

    ПРосто когда я убирал галочку в настройках:
    скрывать защищенные системные папки
    я почему то искал ее по алфавиту

    а надо было посмотреть внизу

    Вот такой такой вот я пользователь епт

  • Уважаемый(ая) drug, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. msvmiode, ctfmon32, Itzqai и другие.
      От melancholy в разделе Помогите!
      Ответов: 38
      Последнее сообщение: 25.11.2010, 21:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00979 seconds with 20 queries