-
Junior Member
- Вес репутации
- 51
Появился нестандартный диспетчер задач ctfmon.exe
Боролся с avtorun.inf на флешке: файлы autorun.inf, корзина UNUCI, seka. Др. Веб КьюрИт! их не убивал, ссылаясь на занятость авторана неким процессом. После запуска скрипта в AVZ все удалилось.
Однако, заинтересовал отчет AVZ:
spnz.sys Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\drivers\Haspnt.sys Подозрение на RootKit >>> Перехватчик KernelMode - ЦП[1].IDT[06]
C:\Documents and Settings\Юля\ctfmon.exe Подозрение эвристического анализа ЭПС: подозрение на Обратите внимание - нестандартный диспетчер задач (высокая степень вероятности).
Буду рад за помощь в решении головоломки.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Юля\ctfmon.exe','');
QuarantineFile('c:\windows\system32\uaservice7.exe','');
QuarantineFile('C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll','');
DeleteFile('C:\Documents and Settings\Юля\ctfmon.exe');
DeleteFile('G:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 51
Новые логи сделал. После выполнения вышеуказанного скрипта вынимал флешку и вставлял ее в другой компьютер - ноут: появились все те же файлы autorun и т.д. Вставив флешку в стационарный компьютер наблюдал флешку в виде папки. При обращении к ней: G: отказано в доступе. Отредактировал скрипт, оставив лишь копирование в карантин autorun.inf и его удаление, выполнил его, перезапустив компьютер. После перезагрузки следов авторана нет. Повторно вставлял флешку в ноут и компьютер: следов авторана нет. Проблема решена?
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\юля\ctfmon.exe - P2P-Worm.Win32.Palevo.agfv ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:Malware-gen )
-