троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.
Инсталляция

мне конечно было не тяжело удалить его но плохо ччто нано пропустил этот роспростронёный вирус
вот к стате метод удаления :



После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe

После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы, созданные троянцем:
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
%System%\рsаdоr18.dll
4. Удалить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
5. Перезагрузить компьютер в обычном режиме.
6. Заменить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"

на
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"

----------------------------------------------------------------------------------------------------------------
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"

на
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = ""
"ShowSuperHidden" = ""
"HideFileExt" = ""

----------------------------------------------------------------------------------------------------------------
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"

на
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = ""
7. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
CDburn.exe
autorun.inf

Если такие файлы существуют, удалить их.
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe

Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.e

Здравствуйте, Freakazoid.

К сожалению, такое иногда случается. Не могли бы Вы предоставить образец троянца для исследования? Лучше всего на почту virus@nanoav.ru, файл, пожалуйста, поместите в архив с паролем "123".