Принесли зловредную флэшку, после работы с ней винда грузится и появляется сообщения "центра безопасности Windows" с предложением получить код активации послав что то на указанный номер СМС
лог работы AVZ в безопасном режиме прилагается
Printable View
Принесли зловредную флэшку, после работы с ней винда грузится и появляется сообщения "центра безопасности Windows" с предложением получить код активации послав что то на указанный номер СМС
лог работы AVZ в безопасном режиме прилагается
Выполните скрипт:
[CODE]begin
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
DeleteFile('C:\WINDOWS\ctfmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
карантин загружен
[COLOR="Navy"]Файл сохранён как 091009_173535_virus_4acf3c2715176.zip
Размер файла 38237
MD5 979bfd15cf47bfd253602b59d0421a32[/COLOR]
анализ в процессе
кстати, для общего развития,ctfmon вроде бы не зловредный процесс, управляет альтернативным вводом, или смутило его местонахождение?
спасибо за оказанную поддержку, логи повторяю
[QUOTE='VK_;483165']ctfmon вроде бы не зловредный процесс, управляет альтернативным вводом, или смутило его местонахождение?[/QUOTE]
Да, файл "не на месте".
C:\WINDOWS\ctfmon.exe = Trojan-Ransom.Win32.SMSer.ny
[b]Отключите восстановление системы![/b] См. Приложение 1 Правил.
Очистите карантин AVZ.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\ctfmon.exe - [B]Trojan-Ransom.Win32.SMSer.ny[/B] ( DrWEB: Trojan.Winlock.324, BitDefender: Trojan.Generic.2526028, NOD32: Win32/LockScreen.BU trojan )[/LIST][/LIST]