Показано с 1 по 9 из 9.

Ctfmon.exe создает файлы desktop.ini и NFO (заявка № 15932)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2007
    Адрес
    Москве
    Сообщений
    6
    Вес репутации
    37

    Exclamation Ctfmon.exe создает файлы desktop.ini и NFO

    Создает файлы desktop.ini и NFO в корне каждого диска.Также появляются директории Recyled и Recycler(встроеная корзина)
    FakeRecycled
    Overview -


    This trojan masquerades as ctfmon.exe and copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.


    Aliases

    • TROJ_VB.BDN (Panda Antivirus)
    • Trojan.Recycle (Doctor Web)
    • Trojan.Win32.VB.aqt (Kaspersky)
    Characteristics

    Characteristics -


    This trojan purports to be a legitimate file ctfmon.exe by its name and icon. It copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.
    On execution this malware adds the following files and folders on each drive
      • %Drive%:\autorun.inf
      • %Drive%:\Recycled\desktop.ini
      • %Drive%:\Recycled\INFO2
      • %Drive%:\Recycled\Recycled\ctfmon.exe
    Where %Drive% represents the Drive Letters.
    The contents of desktop.ini file are:
    [.ShellClassInfo]
    CLSID={645FF040-5081-101B-9F08-00AA002F954E}

    This causes windows to think that this folder contains recycle bin data. Desktop.ini is created as a hidden system file.

    The contents of the autorun.inf file are:
    [autorun]
    shellexecute=Recycled\Recycled\ctfmon.exe
    shell\Open(&O)\command=Recycled\Recycled\ctfmon.ex e
    shell=Open(&0)

    Now if the folder in which this autorun.inf resides is shared and set for autoplay, then any remote computer accessing this share will end up executing the trojan file and getting infected too in a similar manner. This autorun.inf file also overrides the "open" command of the context menu (displayed on right click) to run the trojan when a user right-clicks and selects open.

    Symptoms

    Symptoms -


    • Presence of files and folders as described
    • Presence of autorun.inf at the root of all drives with contents as discussed
    Method of Infection

    Method of Infection -

    [FONT=verdana,geneva,lucida,'lucida grande',arial,helvetica,sans-serif]
    Так его называет McAfee 27/9/2006
    Последний раз редактировалось anibius; 03.01.2008 в 19:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2007
    Адрес
    Москве
    Сообщений
    6
    Вес репутации
    37
    В другом окне открыто было,прикрепмл,а нажать загрузить забыл

  5. #4
    Junior Member Репутация
    Регистрация
    16.12.2007
    Адрес
    Москве
    Сообщений
    6
    Вес репутации
    37

    файлы

    вот файлы
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    spnq.sys и C:\WINDOWS\is-L7P14.exe найдите при помощи avz -сервис- поиск файлов на диске и пришлите согласно приложения 3 правил ......
    у вас не доудален нод .... нужно удалить

  7. #6
    Junior Member Репутация
    Регистрация
    16.12.2007
    Адрес
    Москве
    Сообщений
    6
    Вес репутации
    37
    Удалил нода,авиру.
    Загрузиться в safe mode не получилось,
    поэтому использовал livecd с xp.
    При загрузке в 15:32 в RECYCLER появилась поддиректория пользователя
    и файлы.Прикладываю скрины.
    Просканировал CureIt заново с livecd и в нормальном режиме,но то
    что нужно так и не нашел.
    Раньше переставил систему,обоновил сразу поле установки,
    поставил нод версия 3 и авиру,комодо.Проблем не было,но после
    того как подсоединил свою маленькую флэшку на 80 гигабайт,
    Снова появилась эта зараза.причем директории и файлов,которые сечас
    в ней есть на флэшке не было(сканировал антивирусом,смотрел через линуху)
    странно он появляется и заражает систему,если включен автозапуск,но я его
    отключил через политики,только автозапуск с cd-rom,не отключается.
    Самое интересное то что,если из линукса копировать файлы на ntfs-раздел,
    снова появляетсяэтот троян.Я начинаю думать что это вирус.

    Вот когда его увидел Nod ver2

    Trojan.Win32.VB.aqt
    H:\Recycled\ctfmon.exe - Win32/VB.NFZ trojan - cleaned by deleting - quarantined [1]
    но в данной момент в папке этого файла нет.

    Как обнаруживают заразу,различные антивирусы
    http://www.antivirus.ru/VirAnaliz710272.html

    Решения
    http://forum.kaspersky.com/index.php?showtopic=47107

    Но эти действия не приносят успехов,конечно если все вообще отформатировать
    проблема исчезнет,но я неприменно буду обращаться к нужнм мне файлам,часть из
    них я записал на двд и где гарантия что он не вернетя?

    Конечно,прочитав
    http://support.microsoft.com/kb/282599/ru
    можно просто отказаться от ctfmon.exe
    и поставить Punto Switcher,но это не решение проблемы.
    Вложения Вложения

  8. #7

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    spnq.sys и C:\WINDOWS\is-L7P14.exe найдите при помощи avz -сервис- поиск файлов на диске и пришлите согласно приложения 3 правил ......
    Не нашел присланного Вами карантина

  10. #9
    Junior Member Репутация
    Регистрация
    16.12.2007
    Адрес
    Москве
    Сообщений
    6
    Вес репутации
    37
    Поиск файлов по маске is-L7P14.exe
    Поиск файлов завершен
    Просмотрено 70376, найдено 0

    Поиск файлов по маске spnq.sys
    Поиск файлов завершен
    Просмотрено 70378, найдено 0

  • Уважаемый(ая) anibius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. На диске лежат файлы скрытые desktop.ini
      От arthure в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.05.2011, 18:20
    2. Ответов: 11
      Последнее сообщение: 04.08.2010, 18:10
    3. Вирус или вирусы создает файлы khq и т.д.
      От Vinttu в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 09:00
    4. Вирус или вирусы создает файлы khq и т.д.
      От Vinttu в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.11.2008, 15:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01471 seconds with 17 queries