| NANO Antivirus > Forum http://www.nanoav.pro/forum/ |
|
| не ловит вирус smss.exe http://www.nanoav.pro/forum/viewtopic.php?f=8&t=953 |
Страница 1 из 1 |
| Автор: | Freakazoid [ 04 дек 2012 18:15 ] |
| Заголовок сообщения: | не ловит вирус smss.exe |
троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic. Инсталляция мне конечно было не тяжело удалить его но плохо ччто нано пропустил этот роспростронёный вирус вот к стате метод удаления : После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe": %System%\DETER177\lsass.exe %System%\DETER177\smss.exe %System%\DETER177\svсhоst.exe После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные". Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: 1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows). 2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). 3. Удалить файлы, созданные троянцем: %System%\DETER177\lsass.exe %System%\DETER177\smss.exe %System%\DETER177\svсhоst.exe %System%\ctfmon.exe %System%\АHTОMSYS19.exe %System%\рsаdоr18.dll 4. Удалить ключи системного реестра: [HKLM\Software\Microsoft\CurrentVersion\Run] "ctfmon" = "%System%\ctfmon.exe" "lsass" = "%System%\DETER177\lsass.exe" 5. Перезагрузить компьютер в обычном режиме. 6. Заменить ключи системного реестра: [HKLM\Software\Microsoft\CurrentVersion\Winlogon] "Shell" = "Explorer.exe %System%\АHTОMSYS19.exe" на [HKLM\Software\Microsoft\CurrentVersion\Winlogon] "Shell" = "Explorer.exe" ---------------------------------------------------------------------------------------------------------------- [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "0" "ShowSuperHidden" = "0" "HideFileExt" = "1" на [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "" "ShowSuperHidden" = "" "HideFileExt" = "" ---------------------------------------------------------------------------------------------------------------- [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer] "NoFolderOptions" = "1" на [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer] "NoFolderOptions" = "" 7. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге: CDburn.exe autorun.inf Если такие файлы существуют, удалить их. 8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию). Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe": %System%\ctfmon.exe %System%\АHTОMSYS19.exe Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра: [HKLM\Software\Microsoft\CurrentVersion\Run] "ctfmon" = "%System%\ctfmon.exe" "lsass" = "%System%\DETER177\lsass.exe" [HKLM\Software\Microsoft\CurrentVersion\Winlogon] "Shell" = "Explorer.e |
|
| Автор: | Rodger [ 04 дек 2012 19:25 ] |
| Заголовок сообщения: | Re: не ловит вирус smss.exe |
Здравствуйте, Freakazoid. К сожалению, такое иногда случается. Не могли бы Вы предоставить образец троянца для исследования? Лучше всего на почту virus@nanoav.ru, файл, пожалуйста, поместите в архив с паролем "123". |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|