Город Бийск
Информационно-развлекательный портал
Понедельник, 22.10.2018, 04:53
Приветствую Вас Гость | RSS
На Вашем сайте еще нет копилки? Тогда кликайте сюда.

Меню сайта

Разделы новостей
Новости города [6]
Для молодежи [1]
Поздравления [30]
Со всего света [25]
Бонусы и предложения [2]
Анекдоты и Юмор [56]
Информационные статьи [31]

Наш опрос
Ваш возраст
Всего ответов: 218

Главная » 2010 » Август » 26 » Лечение вируса Win32.HLLW.Autohit.3438
Лечение вируса Win32.HLLW.Autohit.3438
14:55
Инсталляция:
Главная особенность инсталляции заключается в том, что файл трояна должен быть запущен на сменном носителе (флешке), для начала инсталляции его в систему.

Вот и получается, что при запуске трояна с флешки, он копирует свои файлы в директорию System32\ с атрибутами скрытый системный:
  • csrcs.exe;
  • autorun.i;
  • autorun.in.
C:\Documents and Settings\All Users\Документы\
(random_name.exe) uawdmt.exe


Метка вируса, файл нулевой длинны "kht" с атрибутами скрытый системный.
Запрещает отображение скрытых файлов.

Запускается с системой, изменив параметр ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe csrcs.exe

Методы борьбы:
Метод первый (Для тех, кто любит сложности)
  1. Отключаем сеть! (выдергиваем сетевой кабель из карты);
  2. Отключаем восстановление системы (вызываем "Свойства" (Мой компьютер) - вкладка "Восстановление системы". Галочку на "Отключить восстановление системы на всех дисках". Нажимаем ОК;
  3. Завершаем в ручную в "Диспетчере задач" процесс "csrcs.exe". Для восстановления отображения скрытых файлов исспользуем утилиту AVZ:
    • запускаем ее;
    • выбираем "Файл" - "Восстановление системы" - галочка на пункте №8 и нажимаем "Выполнить отмеченные операции";
    • по окончании выполнения задачи, закрываем программу.
  4. Заходим в любую папку, выбираем:
    • "Сервис" - "Свойства папки" - "Вид" - ставим галку на "Отображать содержимое системных папок";
    • убираем галку на "Скрывать защищенные системные файлы";
    • ставим галку на "Показывать скрытые файлы и папки";
    • убираем галку на "Скрывать расширения для зарегистрированных типов файлов";
    • нажимаем ОК.
  5. Заходим в "Пуск" - "Мой компьютер" - С:\WINDOWS\system32\. Находим и удаляем файл червя "csrcs.exe".
  6. Удаляем все точки восстановления системы (Загружаемся из под Windows Live CD. После загрузки Windows Live CD заходим в корень каждого локального диска в папку "System Volume Information" и полностью удаляем содержимое папки).
  7. Заходим на каждый раздел жесткого диска и удаляем файлы под названием "kht".
  8. Чистим ключи реестра ("Пуск" - "Выполнить" - "regedit" - "F3" - в появившемся окне ввести "csrcs", удалить строковые параметры со значением "csrcs".) измененные червем:
    • HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ - имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ - имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe)
  9. Включаем восстановление системы.
  10. Перезагружаем операционную систему.
Если не почистить реестр в ручную или не исправить ключ реестра, то при каждом запуске Windows система будет выдавать сообщение. Подробнее здесь.

csrcs

Метод второй
Рекомендую использовать обновленную версию Dr. Web Live CD. Подробности его использования можно прочитать здесь.
Преимущества по сравнению с первым методом: меньше мороки, а заодно и система полностью почистится.
Преимущества первого метода: такие методы расширяют познания в вирусологии, основах строения операционных систем и компьютере в целом.
Категория: Информационные статьи | Просмотров: 2035 | Добавил: fc | Рейтинг: 5.0/2 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа

Календарь новостей
«  Август 2010  »
ПнВтСрЧтПтСбВс
      1
2345678
9101112131415
16171819202122
23242526272829
3031

Поиск

Мини-чат

Друзья сайта

Статистика
Rambler's Top100





Онлайн всего: 1
Гостей: 1
Пользователей: 0

Copyright by Felix Craft © 2007 - 2018Используются технологии uCoz