outgoing conection, unwanted running program, lot\'s cpu usage (заявка №35898)
Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
i have big outgoing conection everytime goes online,
also i can find many un-expected program names running on task manager,
also noticed that could be a spyware that names geurge.exe, 9fn177p.exe, ck4r.exe, userini.exe, cdkrn8iv9.exe, wpv561288884547.exe,
also noticed that i have big background process running,
consume lot's of cpu usage seen on task manager.
then i lost control to activate windows firewall.
Дата обращения: 04.11.2010 18:29:51
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=35898]35898[/URL]
HEUR:Backdoor.Win32.Generic,Virus.Win32.Protector. f
[B]05.11.2010 1:20:08[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\system32\antiwpa.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 5376 байт[*] версия: "3.4.6"[*] копирайты: "HLT & CW2K '05"[*] детект других антивирусов: DrWEB 5.0: Зловред Tool.Wpakill.1[/LIST][*] [B]C:\DOCUME~1\xp\LOCALS~1\Temp\ck4r.exe[/B] - [URL=http://www.securelist.com/ru/find?words=HEUR:Backdoor.Win32.Generic]HEUR:Backdoor.Win32.Generic[/URL]
[LIST][*] размер: 35840 байт[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.DownLoader1.34518; BitDefender: Зловред Gen:Trojan.Heur.VP.cmGfam6mMgc; NOD32: Подозрение Win32/VB.PGX trojan; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\WINDOWS\system32\CtHelper.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 19456 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright (C) 2004-2007"[/LIST][*] [B]C:\WINDOWS\system32\userini.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 37376 байт[*] версия: "1.2.0.0"[/LIST][*] [B]c:\windows\explorer.exe:userini.exe:$DATA[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 37376 байт[*] версия: "1.2.0.0"[/LIST][*] [B]C:\WINDOWS\system32\FFSJ\FFSJSHL.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 245760 байт[/LIST][*] [B]C:\WINDOWS\system32\WSContextMenu.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 153600 байт[/LIST][*] [B]C:\WINDOWS\system32\drivers\CTERFXFX.SYS[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 100952 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright© 1999-2005 Creative Technology Ltd"[/LIST][*] [B]C:\WINDOWS\system32\DRIVERS\ctgame.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 18904 байт[*] версия: "5.12.02.100"[*] копирайты: "Copyright © Creative Technology Ltd.1997-2002"[/LIST][*] [B]C:\WINDOWS\system32\drivers\iPodDrv.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 6656 байт[*] версия: "6.0.6000.16386 built by: WinDDK"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]c:\windows\temp\wpv191288884627.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 37376 байт[*] версия: "1.2.0.0"[/LIST][*] [B]c:\windows\temp\wpv561288884547.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 37888 байт[*] версия: "1.2.0.0"[/LIST][*] [B]C:\DOCUME~1\xp\APPLIC~1\DMCache\DRVMSD~1\msftldr.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 59392 байт[*] детект других антивирусов: BitDefender: Зловред Gen:Trojan.Heur.LP.dq4@aOoqLqh; NOD32: Зловред Win32/Agent.RQN trojan; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\Documents and Settings\xp\Application Data\DMCache\drvmsdrv75\msfteml.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 90112 байт[*] детект других антивирусов: NOD32: Зловред Win32/Agent.RPY trojan[/LIST][*] [B]C:\Documents and Settings\xp\Application Data\DMCache\drvmsdrv75\msfttcp.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 37888 байт[*] детект других антивирусов: DrWEB 5.0: Зловред BackDoor.Msft.1; BitDefender: Зловред Trojan.Swizzor.17004; NOD32: Зловред Win32/Agent.RQN trojan; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\WINDOWS\system32\ctagent.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 8704 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright © 2002-2007"[/LIST][*] [B]C:\WINDOWS\system32\ctspkhlp.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 47104 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright (C) 2002-2007"[/LIST][*] [B]C:\WINDOWS\SYSTEM32\CTDC0001.DLL[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 330752 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright© 1999-2007 Creative Technology Ltd"[/LIST][*] [B]C:\WINDOWS\SYSTEM32\ctosuser.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 69632 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright© 1999-2007 Creative Technology Ltd"[/LIST][*] [B]C:\WINDOWS\SYSTEM32\CTDPROXY.DLL[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 49152 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright© 1999-2007 Creative Technology Ltd"[/LIST][*] [B]C:\WINDOWS\CTDCRES.DLL[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 10240 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright(c) 2001-2005 Creative Technology Ltd"[/LIST][*] [B]C:\WINDOWS\SYSTEM32\PIAPROXY.DLL[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 64512 байт[*] версия: "6.00.01.1371-2.18.3610"[*] копирайты: "Copyright© 1998-2007 Creative Technology Ltd"[/LIST][*] [B]c:\progra~1\dumete~1\dumeter.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 2942856 байт[*] версия: "5.02"[*] копирайты: "Copyright © 1997-2010 Hagel Technologies Ltd."[/LIST][*] [B]C:\PROGRA~1\DUMETE~1\DuHelper.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 10632 байт[*] версия: "5.02"[*] копирайты: "Copyright © 1997-2010 Hagel Technologies Ltd."[/LIST][*] [B]C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\IAStorDataMgrSvc\1bca255ca41442a80295f3ad8bdabd71\IAStorDataMgrSvc.ni.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 19968 байт[*] версия: "9.6.0.1014"[*] копирайты: "Copyright © Intel Corporation 2009-2010"[/LIST][*] [B]C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\IAStorDataMgr\de4bb82b7fd415bd30d4c1f8b63f87c9\IAStorDataMgr.ni.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 175616 байт[*] версия: "9.6.0.1014"[*] копирайты: "Copyright © Intel Corporation 2009-2010"[/LIST][*] [B]C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\IAStorUtil\7656f1418ef938859bd6196785003902\IAStorUtil.ni.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 451072 байт[*] версия: "9.6.0.1014"[*] копирайты: "Copyright © Intel Corporation 2009-2010"[/LIST][*] [B]C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\IsdiInterop\55d784f415ae763c26f9ecf01056ed51\IsdiInterop.ni.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 170496 байт[/LIST][*] [B]c:\windows\temp\wpv491288884586.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 37888 байт[*] версия: "1.2.0.0"[/LIST][*] [B]C:\WINDOWS\system32\Drivers\NDIS.sys[/B] - [URL=http://www.securelist.com/ru/find?words=Virus.Win32.Protector.f]Virus.Win32.Protector.f[/URL]
[LIST][*] размер: 210816 байт[*] детект других антивирусов: DrWEB 5.0: Зловред BackDoor.Bulknet.507; VBA32: Зловред Rootkit.Protector.F; BitDefender: Зловред Rootkit.Kobcka.Patched.Gen; NOD32: Зловред Win32/Protector.K virus; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\WINDOWS\System32\Drivers\sptd.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 721904 байт[*] версия: "1.58.0.0 built by: WinDDK"[*] копирайты: "Copyright (C) 2004"[/LIST][*] [B]c:\windows\explorer.exe:userini.exe:$DATA[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 37376 байт[*] версия: "1.2.0.0"[/LIST][/LIST]
