Что-то новенькое?

Printable View

02.04.2012, 18:43
choochah

Вложений: 3

Что-то новенькое?

Здравствуйте!
Был загружен с Депозита файл Setup.exe (~360kb), проверен Avast Free 7 с последними обновлениями, 1-й раз файл запущен в песочнице, Avast ни чего не нашел, 2-й раз запущен как обычно и получен такой результат (см. jpg), т.е. windowslocker. Поиск Dr.Web Live CD (с подгрузкой баз), AVPTool с обновлениями и AVZ ничего не дали, в безопасном режиме система (WinXP SP3) грузится. В автозагрузке и процессах был найден C:\Windows\ctfmon.exe размером более 1Mb. Были убиты процессы ctfmon.exe (4шт) и файл в авторане. После чего система загрузилась нормально. Ни Setup.exe, ни ctfmon.exe антивирусы как вредоносные не определяются (плюс к предыдущим AVG Free 2012). Хотелось бы узнать, ничего еще эта гадость не наделала?
Логи пустые. В карантин добавлял в ручную.
02.04.2012, 18:45
Info_bot

Уважаемый(ая) [B]choochah[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.04.2012, 19:59
thyrex

Необычного в логах не увидел
03.04.2012, 19:15
choochah

Вложений: 3

Логи с зараженного компа

Вот строка в реестре
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, сtfmоn

C:\WINDOWS\сtfmоn.exe в реестре и в названии файла две буквы русские с и о.

На [url]www.virustotal.com[/url] только 3 из 42 антивирусов что-то заподозрили:

Sophos Mal/MsilPKill-B
Ikarus Backdoor.MSIL
Emsisoft Backdoor.MSIL!IK
03.04.2012, 22:58
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\сtfmоn.exe','');
DeleteFile('C:\WINDOWS\сtfmоn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','сtfmоn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
06.04.2012, 11:35
choochah

Да я их уже высылал. Второй раз не дает.
06.04.2012, 12:35
regist

[b]choochah[/b], вы были заражены [B][COLOR="#FF0000"]Trojan.KillProc.15783[/COLOR][/B] по DrWeb.

Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
07.04.2012, 12:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]