quote:

Trojan-Downloader.Win32.Delf.awg Детектирование добавлено 06 сен 2006 02:42 MSK Обновление выпущено 06 сен 2006 03:14 MSK Описание опубликовано 25 сен 2006 Поведение Trojan-Downloader, троянский загрузчик
[ul]

Технические детали

Деструктивная активность

Рекомендации по удалению [/ul] Технические детали Троянская программа, загружающая из интернета другие вредоносные программы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Упакована при помощи Upack. Размер файла — около 11 КБ. Размер в распакованном виде — около 270 КБ. Написана на Borland Delphi.
Деструктивная активность После запуска троянца создается поток, в котором каждые 20 миллисекунд происходит поиск в системе окна с классом AVP.AlertDialog. Если такое окно было обнаружено, то происходит поиск в этом окне кнопки с надписью «П&ропустить» или с надписью «&Разрешить». Если она была найдена, то происходит поиск и имитация клика пользователем левой кнопкой мыши по найденной кнопке.
Троянец определяет наличия в ключе [HKCU\Software\Microsoft\Windows] параметра с именем "m". Если такой параметр существует, то происходит завершение работы программы, иначе происходит создание этого параметра:
[HKCU\Software\Microsoft\Windows]
 "m"="m" После чего троянец производит запуск процесса с именем svchost.exe и внедрение в него кода, содержащего процедуру загрузки файлов.
После запуска этой процедуры происходит скачивание файлов, размещенных по следующим адресам:
[ul]

http://rikoger.com/lo***/1/1.exe (детектируется Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.awp)

http://rikoger.com/lo***/2/2.exe (детектируется Антивирусом Касперского как Email-Worm.Win32.Scano.as)

http://rikoger.com/lo***/3/3.exe (детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Xorpix.am)[/ul] И их сохранение в системе во временном каталоге Windows под следующими именами соответственно:

csrss.exe
lsass.exe
smss.exe После загрузки троянец проверяет размер каждого загруженного файла: если он равен нулю, то производится повторная загрузка файла.
Также для каждого файла проверяется наличие в его начале сигнатуры исполняемого EXE-файла («MZ»). Если такая сигнатура была найдена, то производится запуск сохраненного файла на исполнение.
Рекомендации по удалению [ol]При помощи «Диспетчера задач» завершить троянский процесс. Удалить следующий параметр из системного реестра: [HKCU\Software\Microsoft\Windows]
 "m"="m" Во временном каталоге Windows удалить файлы с именами: csrss.exe
lsass.exe
smss.exe Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).[/ol]  

quote:

ORIGINAL: Goroshka
так самое интересное, что я все-таки один раз жмакнула на ссылку)))) и теперь не могу избавиться от этой заразы)) пытаюсь все сделать так, как написала Лиза1980, но увы…))
когда завершаю процесс "svchost.exe " (которых у меня аж 5 штук, пипец) у меня вываливается эта гребаная табличка, с которой я уже как-то сталкивалась, которая мне сообщает о том, что перезагрузка произойдет через минуту)) и все) на этом все мои действия заканчиваются))

quote:

ORIGINAL: KLAUS

svchost.exe - сам по себе является системным файлом, и удаление процесса вызовет презагрузку системы!! Так что не пытайся его удалить. Лучше проверь другим антивирем прямо в online ( допустим через Dr.Web, прямо с их сайта).
Ну а насёт того, что тебе шлют твои же знакомые, в наст ройках аси, поставь галку получать сообщения только от тех кто в твоём конт.лист!
 

quote:

ORIGINAL: -=lebed=-

Если с номеров друзей приходит не от них, то ИМХО у твоих друзей угнали номерки… Перестановка винды тут не причём…

quote:

ORIGINAL: illich

Ну почему не избавишся, избавишся конечно, только диск форматируй целиком (со всеми разделами).

quote:

ORIGINAL: -=lebed=-

Можно тока с: потом антивирем прогнать остальные разделы (тока ничего не запускать с других разделов, чтоб вновь не заразить винду, мало-ли мож там что заражённое есть) Ну а для верности, конечно весь диск лучше переразметить и форматнуть разделы…

quote:

ORIGINAL: Лиза1980
Зачем ви тхравите!!!
Такие страшные методы рассказываете!!!
Достаточно загрузится в safemod(при загрузке контьютера усилета жать f8 и выбрать режи защиты от сбоев или по ангельски safe mode), убрать из реестра ключи на загрузку, удалить в папке %temp% тела вирусов, перезагрузить компьютер поставить антивирусник, обновить его и включить полную проверку.

quote:

ORIGINAL: AdReNaL1Ne

ProRat вообще легко удаляется) Достаточно библиотеки удалить из system32

quote:

Эх… млин, сразу видно трояна ProRat не тестила… Не всегда Safe mode помогает, методы загрузки заразы стали ещё более извращёнными…(инъекция в чужой процесс, загрузка расширений проводника, dll и т. п.) Так что не травим Лиза, а помогаем…

quote:

ORIGINAL: ComSyntax

otkrivaem tekstovii redaktor zapisivaem sledushiy kod bez skobok (shutdown -a)
sohranyaem v Moytext.bat i zapuskaem vsyakiy raz kogda vas budet bespokoit' tablo s taymerom
voobsheto ya ne pomogayu lyudyam lichit' kompyuteri a naoborot lomat' no zdes ya zdelayo islyuchenie prilestnoy lady Goroshkai