Показано с 1 по 4 из 4.

Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe" (заявка № 70733)

  1. #1
    Junior Member Репутация
    Регистрация
    09.02.2010
    Сообщений
    30
    Вес репутации
    29

    Exclamation Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe"

    Странное поведение компьютера в купе с повторным заражением системы.
    В первый раз вылечил систему удалением stacsv.exe из папки систем32. Так система снова через несколько дней заразилась. Я уже сделал stacsv.exe пустой в этой папке и присвоил ему атрибута только для чтения и системный.
    И еще интересует сабж: что он обозначает, и как выловить этот stacsv.exe в процессах?
    Также интересует что обозначает вот это:
    c:\windows\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

    И как его от туда вытащить.
    ЗЫ Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     StopService('abp470n5');
     QuarantineFile('C:\WINDOWS\system32\drivers\lmihhv.sys','');
     DeleteService('abp470n5');
     DeleteFile('C:\WINDOWS\system32\drivers\lmihhv.sys');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.1- 3 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    09.02.2010
    Сообщений
    30
    Вес репутации
    29
    Сделал я вышеперечисленное, и система отказалась запускать какие-либо программы после перезагрузки :-( Выдавало - недостаточно квот или что-то в этом духе.
    Пришлось переставить.
    Ну да ладно. Меня всё-таки интересует вопрос, который я задавал выше:
    1. Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe" - что это обозначает? и где посмотреть в системе без антивируса такие аномалии?
    2. c:\windows\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - можно ли удалить этот поток, если он в системном файле завёлся, и как он запускается и виден ли в процессах?

    Спасибо заранее.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Цитата Сообщение от AndreySh Посмотреть сообщение
    1. Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe" - что это обозначает? и где посмотреть в системе без антивируса такие аномалии?
    Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

    Добавлено через 1 минуту

    Цитата Сообщение от AndreySh Посмотреть сообщение
    2. c:\windows\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - можно ли удалить этот поток, если он в системном файле завёлся, и как он запускается и виден ли в процессах?
    спросите у яндекса - "исполняемый файл в потоке NTFS" - очень много инфы
    Последний раз редактировалось polword; 12.02.2010 в 09:46. Причина: Добавлено

  • Уважаемый(ая) AndreySh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 15:16
    2. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    3. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    4. Ответов: 3
      Последнее сообщение: 10.01.2009, 21:29
    5. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00496 seconds with 16 queries