Ctfmon.exe создает файлы desktop.ini и NFO

Создает файлы desktop.ini и NFO в корне каждого диска.Также появляются директории Recyled и Recycler(встроеная корзина)
FakeRecycled
[B]Overview -[/B]


This trojan masquerades as ctfmon.exe and copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.


[B]Aliases[/B]

[LIST][*]TROJ_VB.BDN (Panda Antivirus)[/LIST][LIST][*]Trojan.Recycle (Doctor Web)[/LIST][LIST][*]Trojan.Win32.VB.aqt (Kaspersky)[/LIST][B]Characteristics[/B]

[B]Characteristics -[/B]


This trojan purports to be a legitimate file ctfmon.exe by its name and icon. It copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.
On execution this malware adds the following files and folders on each drive
[LIST][LIST][*]%Drive%:\autorun.inf[*]%Drive%:\Recycled\desktop.ini[*]%Drive%:\Recycled\INFO2[*]%Drive%:\Recycled\Recycled\ctfmon.exe[/LIST][/LIST]Where %Drive% represents the Drive Letters.
The contents of desktop.ini file are:
[I][.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}[/I]
This causes windows to think that this folder contains recycle bin data. Desktop.ini is created as a hidden system file.

The contents of the autorun.inf file are:
[I][autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)[/I]
Now if the folder in which this autorun.inf resides is shared and set for autoplay, then any remote computer accessing this share will end up executing the trojan file and getting infected too in a similar manner. This autorun.inf file also overrides the "open" command of the context menu (displayed on right click) to run the trojan when a user right-clicks and selects open.

[B]Symptoms[/B]

[B]Symptoms - [/B]


[LIST][*]Presence of files and folders as described[*]Presence of autorun.inf at the root of all drives with contents as discussed[/LIST][B]Method of Infection[/B]

[B]Method of Infection - [/B]

[COLOR=#000000][FONT=verdana,geneva,lucida,'lucida grande',arial,helvetica,sans-serif]
Так его называет McAfee 27/9/2006
[/COLOR]

Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила оформления запроса[/URL].

В другом окне открыто было,прикрепмл,а нажать загрузить забыл:)

вот файлы

spnq.sys и C:\WINDOWS\is-L7P14.exe найдите при помощи avz -сервис- поиск файлов на диске и пришлите согласно приложения 3 правил ......
у вас не доудален нод .... нужно удалить

Удалил нода,авиру.
Загрузиться в safe mode не получилось,
поэтому использовал livecd с xp.
При загрузке в 15:32 в RECYCLER появилась поддиректория пользователя
и файлы.Прикладываю скрины.
Просканировал CureIt заново с livecd и в нормальном режиме,но то
что нужно так и не нашел.
Раньше переставил систему,обоновил сразу поле установки,
поставил нод версия 3 и авиру,комодо.Проблем не было,но после
того как подсоединил свою маленькую флэшку на 80 гигабайт,
Снова появилась эта зараза.причем директории и файлов,которые сечас
в ней есть на флэшке не было(сканировал антивирусом,смотрел через линуху)
странно он появляется и заражает систему,если включен автозапуск,но я его
отключил через политики,только автозапуск с cd-rom,не отключается.
Самое интересное то что,если из линукса копировать файлы на ntfs-раздел,
снова появляетсяэтот троян.Я начинаю думать что это вирус.

Вот когда его увидел Nod ver2

Trojan.Win32.VB.aqt
H:\Recycled\ctfmon.exe - Win32/VB.NFZ trojan - cleaned by deleting - quarantined [1]
но в данной момент в папке этого файла нет.

Как обнаруживают заразу,различные антивирусы
[url]http://www.antivirus.ru/VirAnaliz710272.html[/url]

Решения
[url]http://forum.kaspersky.com/index.php?showtopic=47107[/url]

Но эти действия не приносят успехов,конечно если все вообще отформатировать
проблема исчезнет,но я неприменно буду обращаться к нужнм мне файлам,часть из
них я записал на двд и где гарантия что он не вернетя?

Конечно,прочитав
[url]http://support.microsoft.com/kb/282599/ru[/url]
можно просто отказаться от ctfmon.exe
и поставить Punto Switcher,но это не решение проблемы.

вот картинки
[url=http://imageshack.us][img=http://img88.imageshack.us/img88/7677/recycledqo2.jpg][/url]

[url=http://imageshack.us][img=http://img123.imageshack.us/img123/280/recycled2reesterwp4.jpg][/url]

[url=http://imageshack.us][img=http://img299.imageshack.us/img299/237/recycled2reesterbiloat9.jpg][/url]

[url=http://imageshack.us][img=http://img142.imageshack.us/img142/4145/recycled2reesterlivecdup3.jpg][/url]

[quote]spnq.sys и C:\WINDOWS\is-L7P14.exe найдите при помощи avz -сервис- поиск файлов на диске и пришлите согласно приложения 3 правил ......[/quote]
Не нашел присланного Вами карантина

Поиск файлов по маске is-L7P14.exe
Поиск файлов завершен
Просмотрено 70376, найдено 0

Поиск файлов по маске spnq.sys
Поиск файлов завершен
Просмотрено 70378, найдено 0