Вернуться   Другой Форум - Антивирусы, Программы, Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 02.09.2011, 12:04   #1
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

Вирусы, их описания и способы борьбы с ними.


В данной теме предлагаю выкладывать названия известных и недавно появившихся вирусов(также троянов,червей,руткитов и т.п.).
Описания их вредоносных действий,способы проникновения в систему,а также способы их удаления и обезвреживания.
Всех постящих просьба соблюдать Правила раздела :Защита системы,а так же Правила форума.



Так же здесь можно обратиться за помощью в удалении вирусов из системы.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 10.12.2011, 22:02   #31
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Вредоносные загрузчики ОС

Киберпреступники непрерывно ищут новые способы заражения систем, чтобы в идеале остаться незамеченными. И их креативным навыкам нет предела — это показывает последняя волна вредоносных загрузчиков. Первыми среди них стали бразильские банковские троянцы, цель которых – удалять защитное ПО.

Такой нетрадиционный способ заражения поражает только системы, использующие ntldr — загрузчик ОС семейства Windows NT вплоть до Windows XP и Windows Server 2003 включительно. Такой выбор – не совпадение: XP по-прежнему является самой популярной операционной системой в нескольких странах, включая Бразилию, где она установлена почти на 47% всех компьютеров


Заражение инициирует маленький вредоносный файл размером 10 КБ, детектируемый как Trojan-Downloader.Win32.VB.aoff, рассылаемый в электронном письме. Он загружает в систему 2 новых файла, размещенных на Amazon WS Cloud - xp-msantivirus (1.83 MB) и xp-msclean (7.4 MB), переименовывает легитимный ntldr на ntldr.old, а затем устанавливает в качестве нового загрузчика операционной системы измененную версию GRUB, специально настроенную для запуска файла menu.lst



Вредоносный загрузчик, заменивший оригинальный ntldr: модифицированная копия GRUB
Впоследствии файл menu.lst будет отвечать за вызов файла xp-msantivirus в процессе загрузки системы:


Содержание файла menu.lst. Содержание сообщения следующее: “Инструмент инициализации Microsoft для удаления вредоносного ПО”
Файлы xp-msantivirus и xp-msclean представляют собой загрузчики *nix системы, специально подготовленные киберпреступниками для удаления некоторых защитных файлов в процессе загрузки. Неудивительно, что основными мишенями являются файлы в составе весьма популярного защитного плагина, используемого бразильскими банками - GBPlugin, установленного на 23 миллионах компьютеров. Вредоносный загрузчик также предназначен для удаления файлов из Microsoft Security Essentials, Windows Defender и других:


После заражения троянская программа принудительно вызывает перезагрузку системы…


«Центру обновления Windows необходимо перезагрузить компьютер для завершения установки важных обновлений»
… а затем происходят все изменения. Вредоносный загрузчик отображает поддельные сообщения, в которых утверждается, что работает средство удаления вредоносных программ Microsoft:

«Инструмент для удаления вредоносного ПО (KB890830) Не выключайте и не отключайте от сети компьютер до завершения процесса»
Для объяснения длительного времени загрузки отображается еще одно сообщение, утверждающее, что система заражена, и идет удаление «вредоносных файлов»:

«Пожалуйста, подождите до завершения операции. Не выключайте и не перезагружайте ваш компьютер. ВНИМАНИЕ: на вашем компьютере обнаружены зараженные файлы. Идет процесс удаления вирусов. Это может занять некоторые время в зависимости от количества обнаруженных файлов, зараженных вирусом. Не отключайте и не перезагружайте ваш компьютер во время этого процесса, дождитесь его завершения, и перезагрузка произойдет автоматически»
Наконец, после завершения процесса загрузки вредоносный загрузчик удаляет себя и устанавливает чистый ntldr в качестве активного – его миссия выполнена, и троянская банковская программа, детектируемая как Trojan-Downloader.Win32.Banload.bqmv, остается работать на зараженном компьютере, готовая украсть данные пользователя, необходимые для осуществления операций онлайн-бинкинга.

Разумеется, выполнению всех этих вредоносных операций помогают некоторые факторы, такие как, например, работа в ОС под аккаунтом с привилегиями администратора и.т.д. Вредоносный загрузчик детектируется антивирусом Касперского как Trojan.Boot.Burg.a.
Материал взят
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 16.12.2011, 12:09   #32
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Exploit.HTML.CVE-2010-4452.h

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h).
Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Представляет собой HTML документ. Имеет размер 203 байта.
Деструктивная активность

После открытия зараженной HTML страницы вредонос начинает эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Уязвимыми являются "Java Runtime Environment" (JRE) и "Java for Business" версии 6.0 до 23-го обновления. Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:

Параметр базовый адрес ("codebase") указывает на доверенный каталог:
C:\Program Files\java\jre6\lib\ext
В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:
[Ссылки могут видеть только зарегистрированные пользователи. ]

По данной ссылке осуществляется обращение к URL:
[Ссылки могут видеть только зарегистрированные пользователи. ]

Данному апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде. Затем вредонос осуществляет по ссылке загрузку исполняемого файла, который сохраняется в каталоге временного хранения файлов текущего пользователя с именем:

%Temp%\<rnd>.exe

где rnd – случайное дробное число от 0 до 1. Затем Вредонос запускает загруженный файл на выполнение. На момент создания описания ссылки не работали.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2.Обновить Oracle Java JRE и JDK до последних версий.
3.Очистить каталог:
%Temp%\
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 16.12.2011, 12:11   #33
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Backdoor.Win32.Bredolab.ogt

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 19968 байт. Написана на С++.
Деструктивная активность

После запуска, троянец расшифровывает свое тело и затем выполняет загрузку файлов со следующих URL адресов:

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]


Данный файл имеет размер 417792 байта и детектируется Антивирусом Касперского как Trojan.Win32.FakeAV.dlhw.
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]

Данный файл имеет размер 653312 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Bredolab.oii. Троянец сохраняет загруженные файлы под следующими именами:

%WinDir%\Temp\_ex-68.exe
%WinDir%\Temp\_ex-08.exe
%WinDir%\Temp\_ex-89.exe
%WinDir%\Temp\_ex-44.exe

Далее троянец запускает скачанные файлы на выполнение и завершает свою работу.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2.Удалить файлы:
%WinDir%\Temp\_ex-68.exe
%WinDir%\Temp\_ex-08.exe
%WinDir%\Temp\_ex-89.exe
%WinDir%\Temp\_ex-44.exe

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 16.12.2011, 20:53   #34
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Downloader.HTML.JScript.l

Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя.
Технические детали

Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Является HTML-документом. Имеет размер 1356 байт.
Деструктивная активность

После запуска троянец, используя мета-тег

meta HTTP-EQUIV="REFRESH"

перенаправляет пользователя по следующей ссылке:

[Ссылки могут видеть только зарегистрированные пользователи. ]

Кроме того вредоносный HTML-документ импортирует в свое тело скрипт, содержащийся по адресу:
[Ссылки могут видеть только зарегистрированные пользователи. ]
На момент создания описания данная ссылка не работала.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2.Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
3.Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 16.12.2011, 20:56   #35
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Downloader.Win32.Agent.fvcq

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 24579 байт. Написана на Visual Basic.
Деструктивная активность

После запуска, троянец выполняет загрузку файлов со следующих URL адресов:

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]


На момент создания описания ссылки не работали.

Троянец сохраняет загруженные файлы под следующими именами:

c:\windows\Prefetch\RUNPLUDLL.exe
C:\Windows\Prefetch\RUNFISDLL.exe
C:\Windows\Prefetch\RUNJURDLL.exe
C:\SISDETECT.exe


Далее троянец запускает скачанные файлы на выполнение и завершает свою работу.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2.Удалить файлы:
c:\windows\Prefetch\RUNPLUDLL.exe
C:\Windows\Prefetch\RUNFISDLL.exe
C:\Windows\Prefetch\RUNJURDLL.exe
C:\SISDETECT.exe

3.Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 27.12.2011, 16:50   #36
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 288

al12800 вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Android.Arspam.1

Вредоносная программа Android.Arspam.1 встроена в легитимное приложение AlSalah, предназначенное для мусульман и реализующее функции компаса, который с помощью GPS-координат абонента определяет направление на Мекку и расстояние до нее. Также приложение демонстрирует текущую дату по мусульманскому календарю и способно высчитывать время пяти ежедневных молитв. Немаловажно и то обстоятельство, что предлагаемая на официальном сайте Android Market версия данной программы не несет какого-либо деструктивного функционала, в то время как аналогичное приложение, распространяемое на арабоязычных форумах, как правило, содержит в себе троянца. Иными словами, злоумышленники воспользовались программой AlSalah в своих интересах, добавив в нее вредоносную нагрузку.

[Ссылки могут видеть только зарегистрированные пользователи. ] [Ссылки могут видеть только зарегистрированные пользователи. ]

Стартовав на инфицированном устройстве, Android.Arspam.1 создает и регистрирует новую службу com.awake.alArabiyyah, которая запускается вместе с операционной системой. Затем троянец собирает перечень контактов, сохраненных в адресной книге мобильного устройства, и рассылает каждому из них одну из ссылок на интернет-форумы, посвященные политическим событиям на Ближнем Востоке, в частности, революции в Тунисе — открываемые по ссылке сообщения содержат фотографии тунисца Мохаммеда Буазизи (Mohamed Bouazizi), совершившего акт самосожжения 17 декабря 2010 года, положив тем самым начало беспорядкам в целом ряде арабских государств. Список рассылаемых адресов хранится непосредственно в теле троянца. Кроме того, если работающая в устройстве сим-карта зарегистрирована в Бахрейне, то троянец скачивает с удаленного сервера PDF-документ, содержащий разработанный Независимой комиссией Бахрейна (Bahrain Independent Commission) отчет о нарушении прав человека в этой стране.

Android.Arspam.1 — это первый известный на сегодняшний день троянец для мобильных устройств, распространяющий политические СМС-сообщения. Несмотря на то что реализован он достаточно примитивно, нельзя не отметить весьма грамотный подход в выборе тематики приложения с учетом потенциальной аудитории генерируемых троянцем сообщений. Кроме того, поскольку Android.Arspam.1 уже сейчас содержит функционал, позволяющий загружать файлы с удаленных узлов, в дальнейшем можно ожидать появления новых, более совершенных его модификаций, способных, например, получать от управляющих центров конфигурационные файлы или списки ссылок для последующей отправки получателям. Теоретически также возможно объединение работающих под управлением ОС Android спам-ботов в ботнеты. Однако это вопрос будущего: на сегодняшний день пользователи программных продуктов Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light полностью защищены от данной угрозы.

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Re: Вирусы,их описания и способы борьбы с ними.
Старый 27.12.2011, 20:47   #37
The Collector
 
Аватар для Brodyaga

 
Регистрация: 24.03.2011
Адрес: Dnepropetrovsk
Сообщений: 2 068

Brodyaga вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Virus.Sality.Win32.15
Virus.Sality.Win32.15 – сложный полиморфный вирус, заражающий PE файлы.

Нажмите чтобы раскрыть спойлер
Sality - это комплекс, состоящий из вируса который производит заражение компьютеров, и набора разнообразных троянских программ, Кей логгеров, спам ботов и т.п., которые вирус закачивает из сети Internet в процессе своей работы.
Методы распространения

Распространяется через съёмные носители информации и зараженные исполняемые файлы.

Для распространения через съёмные носители информации - вирус копирует своё тело в корень каждого диска и создает сопутствующий файл Autorun.inf, который позволит выполниться копии вируса, если на атакуемом компьютере включен автозапуск. Кроме того вирус пытается заразить исполняемые файлы находящиеся на съемном носителе.
Функциональные возможности

При запуске вирус:
Отключает диспетчер задач
Запрещает редактирование реестра
Отключает оповещения Windows об отключенном брандмауэре, антивирусе и обновлении.
Отключает User Account Control
Запрещает Internet Explorer работать в автономном режиме
Запрещает отображение скрытых папок и файлов
Отключает возможность запуска Windows в безопасном режиме
Добавляет исходный PE файл в доверенные приложения встроенного брандмауэра Windows.
Регистрирует и запускает свою службу, которая обеспечивает запуск исходного тела вируса при каждом перезапуске Windows, а также фильтрует трафик и блокирует обращения к сайтам антивирусных компаний.
Удаляет файлы антивирусных баз.
Закрывает окна, в заголовках которых содержаться строки "dr.web", "cureit".
Перехватывает несколько Windows API функций для маскировки и распространения себя в системе.
Пытается зарегистрировать DNS имя в локальном домене
Пытается внедрить свой код в адресное пространство активных процессов (в частности в Explorer.exe).
Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall.

Вирус заражает исполняемые файлы методом перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла. Заражению подвергаются ".exe” и ".scr” находящихся на логических и съемных носителях, а также подключенных сетевых дисках.
Технические особенности

Virus.Sality.Win32.15 - очень сложный полиморфный вирус.

Полиморфность означает, что в каждом новом файле тело вируса будет выглядеть по-разному и данный вирус нельзя обнаружить методом фиксированных вирусных сигнатур.

При заражении вирус создаёт новую секцию в PE файле и записывает в ее конец свое тело. Для некоторых файлов вместо создания новой секции - вирус расширяет последнюю секцию и дописывает туда своё тело. Атрибуты последней секции изменяются таким образом, чтобы можно было читать, писать и исполнять.

Для передачи управления на своё тело - вирус заменяет оригинальный код приложения, расположенный по точке входа (EntryPoint), на свой собственный, сгенерированный «на лету». Заменённый блок кода, как и само тело вируса, сильно обфусцирован – то есть значащие команды кода щедро размыты "мусорными командами” или же заменены на последовательность операций.

Обфускация – это приведение исполняемого кода программы к виду, сохраняющему его функциональность, но затрудняющему его анализ и понимание алгоритма работы.

К примеру - команда Mov eax, 10h Может быть заменена последовательность команд:

Mov ebx,04h
Mov ecx,01h
Inc ecx
Add ebx ,01
Xor eax,eax
Add ecx, 09h
Sub ecx, 06h
Add eax, ebx
Add eax, ecx

или же размыта "мусорными командами”:

Nop
Nop
Push ecx
Pop ecx
Mov eax, 10h
Xchg eax, ebx
Xchg ebx, eax

Из-за обфускации то, что можно исполнить с помощью нескольких инструкций, растянуто на несколько сотен команд. Так как вирус полиморфный – то команды, их количество и порядок следования, меняются в каждом новом зараженном файле, что сильно затрудняет лечение и детектирование вируса.

Тело вируса зашифровано потоковым шифром RC4 (широко применяющегося в различных системах защиты информации - протоколы SSL и TLS, алгоритм WEP). Алгоритм RC4 строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением.
Длина ключа для расшифровки тела вируса варьируется от 8 до 176 бит. Сам ключ различный для каждого зараженного файла последовательно зашифрован 2 разными полиморфными алгоритмами.

Вирус состоит из 5и основных блоков:

Первый блок - располагается по адресу точки входа и представляет собой сильно офусцированый код, который служит для сохранения оригинальных значений регистров и флагов, а также выполняет переход на тело вируса. Длина этого блока варьируется от 32 байт до 2х кбайт.
С целью защиты от отладки вирус применяет метод под названием FakeApi. В произвольных позициях первого блока производится вызов случайных API функции. Что приводит к прекращению работы некоторых виртуальных машин и отладчиков, не могущих корректно работать с таблицей импорта.

Второй блок - это простенький полиморфный декриптор, который расшифровывает следующий блок и передает на него управление.

Третий блок – это сложный полиморфный декриптор, состоящий из большого количества операций. Данный блок предназначен для расшифровки ключа и алгоритма реализующего потоковый шифр RС4.

Четвёртый блок - обфусцированая версия потокового шифра RС4. При помощи ключа, алгоритм строит таблицу начальных состояний, которой и расшифровывает основное тело вируса.

Пятый блок - само тело вируса.

Еще одной особенностью вируса Virus.Win32.Sality.15 является то, что количество полиморфных декрипторов и длинна расшифровываемого ими кода не постоянна – к примеру, может использовать только первый или только второй полиморфный декриптор + алгоритм RC4, или же только алгоритм RC4 с незашифрованным ключом. Первый полиморфный декриптор может расшифровать только часть второго полиморфного декриптора и передать на него управление (в этом случае - часть второго декриптора зашифрованна, а часть нет) и т.п. Данная методика очень осложняет написание алгоритма детектирования и лечения вируса.
Деструктивные возможности

Пытается выполнить загрузку файлов (под видом картинок) из сети Internet и запустить их на выполнение, загруженные файлы имеют функциональность Trojan, Backdoor и RootKit. Целью вируса является внедрение на машину вредоносного ПО, которое обеспечит полный доступ к компьютеру и включение его в ботнет. По мере удаления вредоносных программ - вирус закачивает новые и маскирует их в системе.
Вирус заражает исполнимые *.exe , *.scr файлы размером более 5 кб, при этом из-за ошибок в вирусе, зачастую портит файлы, что приводит к их полной неработоспособности. Поиск файлов для заражения производится на всех разделах жесткого диска, съемных носителях и всех доступных для записи сетевых папках.
Методы борьбы с вирусом Sality
1. Качаем программу от Лаборатории Касперского, называемую "sality_off".
Если ваш компьютер уже заражен вирусом, то программу по прямой ссылке вы скачать не сможете, поскольку вирус блокирует доступ к доменам компаний, занимающихся разработкой антивирусного ПО (таких как "Dr.Web" и "Лаборатория Касперского" в первую очередь). Выход здесь один:
скачиваем эту программу, заменив доменное имя kaspersky.ru на IP, соответствующий данному домену. Узнать его можно, следующим образом на другом компьютере, подключенно к интернету(в Windows XP) : Пуск -> Выполнить -> cmd -> ping kaspersky.ru.
Так же IP можно узнать через зараженный компьютер, используя любой интернет-сайт, предоставляющий услуги трейса.
Получив ip, подставляем его в оригинальну ссылку на файл:
[Ссылки могут видеть только зарегистрированные пользователи. ]
81.177.31.148/downloads/utils/sality_off.rar

2. Качаем антивирус Касперского и CureIT (лучше их иметь заранее в запасниках со свежими базами и на компакт-диске). Про NOD и Avast можно сразу забыть - они умирают сразу.

3. Качаем removeIT и sality_remover.

4. Отключаем все сетевые устройства (проще говоря выдергиваем сетевой кабель) и носители информации: флешки, выносные жесткие диски, фотоаппараты, МФУ и т.п.

5. Запускаем sality.off с ключем -m (распаковываем его из архива в корень диска C):
Пуск -> выполнить -> C:/Sality_off.exe -m

Ждем пока он не сделает полную проверку. Не выключаем его. Запускаем sality_remover,
проверяем, удаляем зараженные файлы. Закрываем его, запускаем RemoveIT, убивавем оставшиеся вирусы. Так же пробегаемся CureIT.
Добавляем ярлык C:/Sality_off.exe -m в автозагрузку.
Устанавливаем Касперский. Перезагружаем компьютер.
Активируем Касперский (пробный ключ на месяц - для этого потребуется подключиться к интернету), включаем полную проверку. Ждем окончания проверки. Зараженных файлов больше не должно остаться.

6. Открываем доступ к диспетчеру задач (taskmgr):
Пуск ->
выполнить ->
gpedit.msc ->
Конфигурация пользователя ->
Административные шаблоны ->
Система ->
Возможности Ctrl+Alt+Del ->
Удалить диспетчер задач

Отключаем параметр. Выходим на рабочий стол, нажимаем F5 (обновляем).
Повторяем процедуру, если диспетчер задач не хочет пояявляться при сочетании клавишCtrl+Alt+Del.

7. Открываем доступ к редактору реестра (regedit):
устанавливаем проограмму для тонкой настройки Windows (например, Tweak XP),
ставим(убираем) галочку в нужно месте. Готово.

* Чтобы заранее застраховаться от данного вируса, установите на свой компьютер антивирусное ПО и обновляйте базы почаще; отключите Autorun (через реестр, изменив нужный ключ / используя Disable_autorun.reg, либо с помощью любого твикера для Windows); проверяйте свои носители информации, которые собираетесь втыкать в компьютер; храните резервные копии своих дистрибутивов в архивах.
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 27.12.2011, 21:32   #38
The Collector
 
Аватар для Brodyaga

 
Регистрация: 24.03.2011
Адрес: Dnepropetrovsk
Сообщений: 2 068

Brodyaga вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Virus.Win32.Sality.bh


Технические детали

Нажмите чтобы раскрыть спойлер
Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.
Распространение

Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом:
<X>:\<rnd>.<случайно выбираемое расширение файла>
Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.


Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR

Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.


Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.

Деструктивная активность

Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
uxJLpe1m
Запрещает отображение скрытых файлов, добавив информацию в ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"Hidden"=dword:00000002
Блокирует запуск Диспетчера задач Windows и Редактора реестра, создавая параметры ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Policies\system]
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1"
Изменяет настройки Центра Обеспечения безопасности Windows, изменяя значения параметров ключей системного реестра на следующие:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = "1"
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1"



[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1"
Устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line"
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings]
"GlobalUserOffline" = "0"
Отключает User Account Control (компонент, запрашивающий подтверждение действий, требующих прав администратора):
[HKLM\Software\Microsoft\Windows\CurrentVersion\
policies\system]
"EnableLUA" = "0"
Добавляет свой оригинальный файл в список доверенных приложений Брандмауэра Windows путем создания следующего ключа системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
"<полный путь к оригинальному файлу троянца>" =
"<полный путь к оригинальному файлу троянца>:*:Enabled:ipsec"
Отключает брандмауэр Windows:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = "1"
"DoNotAllowExceptions" = "0"
"EnableFirewall" = "0"
Отключает запуск ОС в безопасном режиме, удаляя все параметры ключей реестра:
[HKLM\System\CurrentControlSet\Control\SafeBoot]
[HKCU\System\CurrentControlSet\Control\SafeBoot]
Удаляет файлы с расширениями "exe" и "rar" из временного каталога текущего пользователя Windows:
%Temp%
Создает ключи реестра, в которых сохраняет свою служебную информацию:
[HKCU\Software\Abfx\-1001785200]
"1953719668"=dword:00000079
"-387527960"=dword:00000000
"1566191708"=dword:00000000
"-775055920"=dword:00000023
"1178663748"=dword:00000183
"-1162583880"="0A00687474703A2F2F63696B6D61796564656 B7061
7263612E636F6D2F696D616765732F6C6F676F732E67696600 687474
703A2F2F6272756365676172726F642E636F6D2F696D616765 732F6C
6F676F732E67696600687474703A2F2F6362626173696D6576 692E63
6F6D2F696D616765732F6C6F676F732E67696600687474703A 2F2F62
72616E64616F656D61746F732E636F6D2E62722F696D616765 732F6C
6F676F692E67696600687474703A2F2F6361676C617274656B 6E696B
2E636F6D2F6C6F676F732E67696600687474703A2F2F626861 726174
6973616E676C692E696E2F6C6F676F692E6769660068747470 3A2F2F
636163732E6F72672E62722F6E6F766F736974652F6C6F676F 732E67
696600687474703A2F2F62757461636D2E676F2E726F2F6C6F 676F73
2E67696600687474703A2F2F626F7961626174656D6C2E6B31 322E74
722F696D616765732F6C6F676F732E67696600687474703A2F 2F6361
73627967726F75702E636F6D2F696D616765732F6C6F676F73 2E6769
66"
"791135788"="8D047AF7229C9B8962BA0482D99D368E2F27D A435BE
2A7386A33EDC80BF5E291731E9D01A5491DAF960D9F12BEF04 EC659
3B061C5B93136EC6BFEC34C08A20B0C1FA17DCC2BD245ECA59 601A
83B2A1E4EA6D8C1E0D407E7C34901CE485312CA99533EF94DB D09B
AC13BC887C7B5FA8BD183F0B60FDAC439D9A828FBE91ABBD7D "

[HKCU\Software\<имя_пользвателя>914]
Устанавливает флаг заражения компьютера в виде записи в системном файле:
%WinDir%\system.ini
добавляет в него следующие строки:
[MCIDRV_VER]
DEVICEMB=<rnd2>
Где <rnd2> - случайное число.
Извлекает из своего тела файл:
%System%\drivers\fljojo.sys
Данный файл имеет размер 5157 байт и детектируется антивирусом Касперского как Trojan.Win32.KillAV.ftk.


Для запуска на исполнение извлеченного файла создает службу с именем "amsint32":
amsint32
После запуска на исполнение файл удаляется.


Извлеченный файл предназначен для блокировки Интернет ресурсов, содержащих следующие строки:
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
Останавливает и удаляет службы со следующими именами:
AVP
Agnitum Client Security Service
ALG
Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4 Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
MpsSvc
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
wscsvc
XCOMM
Загружает файлы со следующих URL:
http://cik***ekparca.com/images/logos.gif<rnd3>=<rnd4>
http://br***arrod.com/images/logos.gif<rnd3>=<rnd4>
http://cb***mevi.com/images/logos.gif<rnd3>=<rnd4>
http://br***aoematos.com.br/images/logoi.gif<rnd3>=<rnd4>
http://ca***teknik.com/logos.gif<rnd3>=<rnd4>
http://bh***angli.in/logoi.gif<rnd3>=<rnd4>
http://ca***rg.br/novosite/logos.gif<rnd3>=<rnd4>
http://bu***m.go.ro/logos.gif<rnd3>=<rnd4>
http://bo***eml.k12.tr/images/logos.gif<rnd3>=<rnd4>
http://cas***oup.com/images/logos.gif<rnd3>=<rnd4>
Где <rnd3> - случайная цифробуквенная последовательность, <rnd4> – случайная цифровая последовательность.


Сохраняет загруженные файлы во временном каталоге текущего пользователя Windows со случайными именами:
%Temp%\win<rnd5>.exe
Где <rnd5> – 4 случайные латинские буквы. После успешного сохранения файлы запускаются на исполнение.


На момент создания описания ссылки не работали.
Завершает процессы с именами: AVPM.
A2GUARD
A2CMD.
A2SERVICE.
A2FREE
AVAST
ADVCHK.
AGB.
AKRNL.
AHPROCMONSERVER.
AIRDEFENSE
ALERTSVC
AVIRA
AMON.
TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ASWSCAN
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVEVAL.
AVEVL32.
AVGAM
AVGCC.AVGCHSVX.
AVGCSRVX.
AVGNSX.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVCENTER
AVGNTMGR
AVGSERV.
AVGTRAY.
AVGUARD.
AVGUPSVC.
AVGWDSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR
AVXQUAR.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
BITDEFENDER
CCEVTMGR.
CFP.
CFPCONFIG.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB
DEFENDERDAEMON
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIREWALL
FORTICLIENT
FORTITRAY.
FORTISCAN
FPAVSERVER.
FPROTTRAY.
FPWIN.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWARE
GUARDGUI.
GUARDNT.
GUARDXSERVICE.
GUARDXKICKOFF.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IPTRAY.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
KAVST IOMON98.
ISAFE.
ISATRAY.
KAV.
KAVMM.
KAVPF.
KAVPFW.
ART.
KAVSVC.
KAVSVCUI.
KMAILMON.
MAMUTU
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
ONLINENT.
OPSSVC.
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PESTPATROL
PNMSRV.
PREVSRV.
PREVX
PSIMSVC.
QUHLPSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
QHSET.
RFWMAIN.
RTVSCAN.
RTVSCN95.
SALITY
SAPISSVC.
SCANWSCS.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
TMLISTEN.
TMNTSRV.
TMPROXY.
TNBUTIL.
TRJSCAN.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZLCLIENT
ZONEALARM

Выполняет поиск и удаление файлов с расширениями "drw", ".VDB", ".AVC".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию). Вручную удалить вирус не удастся, так как он, скорее всего, уже заразил множество исполняемых файлов на компьютере, все они требуют лечения. Для лечения вируса также можно использовать бесплатную утилиту (SalityKiller)
Удалить параметры ключей системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system]
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1"
При необходимости восстановить значения параметров ключей системного реестра:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = "1"
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1"

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = "1"
"DoNotAllowExceptions" = "0"
"EnableFirewall" = "0"



Печать

Закладки
Вредоносные программы
Вирусы и черви
Virus


Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
вирус скопировал себя на съёмный носитель или заразил файлы на нем;
пользователь отослал электронное письмо с зараженным вложением.

Другие модификации
Virus.Win32.Sality.aa
Virus.Win32.Sality.d
Virus.Win32.Sality.e
Virus.Win32.Sality.t

Другие названия

Virus.Win32.Sality.bh («Лаборатория Касперского») также известен как:
Worm.Win32.AutoRun.hvp («Лаборатория Касперского»)
Trojan: W32/Sality.dr (McAfee)
Virus: W32/Sality.gen.z (McAfee)
Troj/SalLoad-C (Sophos)
Mal/Sality-D (Sophos)
Trojan.Agent-168681 (ClamAV)
W32/Sality.AK.drp (Panda)
W32/Sality.aa (Panda)
W32/Sality.gen2 (FPROT)
Virus:Win32/Sality.AT (MS(OneCare))
Win32.Sector.22 (DrWeb)
Win32.Sality.3 (BitDef7)
Win32.Sality.BL (VirusBuster)
Win32:Sality (AVAST)
Win32.Virtob (Ikarus)
Virus.Win32.Virut (Ikarus)
Virus.Win32.Sality (Ikarus)
Win32/Heur (AVG)
Win32/Sality (AVG)
W32.Sality.AE (NAV)
Sality.dam (Norman)
W32/Sality.BM (Norman)
W32/Sality.BD (Norman)
Junk.Win32.Virut.c (Rising)
Trojan.Win32.Fednu.cty (Rising)
PE_SALITY.RL-O (TrendMicro)
PE_SALITY.RL (TrendMicro)
Win32.Sality.BL (VirusBusterBeta)



© ЗАО «Лаборатория Касперского», 1997-2011
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 04.01.2012, 22:10   #39
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Downloader.Java.Agent.lg

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 1977 байт.
Деструктивная активность

Троянец представляет собой Java-апплет. Его запуск осуществляется с зараженной HTML-страницы. После запуска троянец загружает из сети Интернет файл по следующей ссылке:

[Ссылки могут видеть только зарегистрированные пользователи. ]
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\xx.exe

И после успешной загрузки запускается на выполнение. На момент создания описания по приведенной ссылке загружался файл размером 1461760 байт. Файл детектируется Антивирусом Касперского как "Trojan.Win32.Llac.wdu". Загруженный вредонос инсталлируется в систему, создавая копию:

%Temp%\rundll.exe

а также ключ автозапуска в системном реестре:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll.exe" = "%Temp%\rundll.exe"


Загруженный вредонос является бэкдором, то есть дает возможность злоумышленнику получать удаленный доступ к зараженному компьютеру.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2.Удалить файлы:
%Temp%\xx.exe
%Temp%\rundll.exe

3.Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4.Удалить ключ системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll.exe" = "%Temp%\rundll.exe"

5.Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 05.02.2012, 20:57   #40
Форумчанин
 
Регистрация: 11.12.2011
Сообщений: 10

Klassentos вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

ВИРУС
Snatch.exe

во избежание попадания вирусов на Ваш компьютер убедительная просьба не
принимать по ICQ (и другим сервисам мгновенного обмена сообщениями)
вложенные файлы, даже если они от надежных отправителей или из Вашего
контакт-листа. В частности, обращаем Ваше внимание, что файл Snatch.exe,
распространяемый в ICQ, является модифицированной программой
Trojan.Win32.Snatch, и представляет опасность для Вашей операционной
системы.
  Ответить с цитированием
Пользователь сказал cпасибо:
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Онлайн проверка на вирусы. Обзор сервисов stalk Обсуждение антивирусов и файерволов 40 10.09.2016 08:02
Авиакомпании России, туроператоры и проблемы связанные с ними крот1 Окружающая реальность 0 23.08.2014 00:18


Часовой пояс GMT +3, время: 19:37.




Яндекс.Метрика