Показать сообщение отдельно
Старый 06.10.2008, 10:29   #250
DjAnubis
Модератор
 
Пол:Мужской
Регистрация: 21.04.2006
Адрес: Антильские о-ва
Сообщений: 1,300
Exclamation Вредоносное ПО (Обзор)

Новый троян AutoIt.dt

Описание: (даю свое, т.к. в сети нихрена нет и его ещё никто не лечит, и нет инфы как бороться.)

Bирус я получил с флешки, хотя вроде и отключал авторан в gpedit.msc и открывал и удалял его с тотал командера, он тем не менее запустился.

Cимптомы:
Bо всех расшаренных папках появляются два файла: axvpte.exe размером 453 624 байт и khq размером 0 байт.
Иногда модифицирует название на hdhmqc.exe. В екзешке есть хмл файл с заголовком AutoIt v3.Может без пробела.
Создает в Мой компьютер значок Веб-папки, который запускает csscr.exe.

Чистка:

1. Удаляем все файлы khq, и ехе-шки размером 453 624 байта, если думаете что екзешка "своя", то проверьте в командере через F3 есть ли там строка AutoIt v3. Может без пробела.

2. В папке System32 удаляем скрытый csscr.exe, сняв перед этим его через Диспетчер задач (он идёт от имени пользователя)
или с помощью [Для просмотра ссылок требуется регистрация. Зарегистрироваться...]. На всякий - проверяем папку dllcache. Documents&Settings/<username>/Local.../Temp - само собой.

3. Чистим реестр (если вы не разбираетесь, обратитесь к другу-программисту) -
HKLM/Software/Microsoft/Windows/CurrentVersion/Run - удаляем подозрительные записи
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce - удаляем подозрительные записи
HKCU/Software/Microsoft/Windows/CurrentVersion/Run - удаляем подозрительные записи
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce - удаляем подозрительные записи
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon параметр Shell должен быть Explorer.exе, если не так - то меняем.
HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run удаляем запуск csscr.exe

4. Удаляем значок Веб-папки из Моего компьютера:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/MyComputer/NameSpace
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/MyComputer/NameSpace
ищем и удаляем раздел {BDEADF00-C265-11D0-BCED-00A0C90AB50F} или {BDEADF00-C265-11d0-BCED-00A0C90AB50F}. Возможно понадобится перезагрузка.

Вроде всё.
Спасибо за внимание.
DjAnubis вне форума
 
Ответить с цитированием Вверх
Сказали спасибо:
 
Время генерации страницы 0.10008 секунды с 10 запросами