Лечение вируса Win32.HLLW.Autohit.3438 - 26 Августа 2010

	Город Бийск Информационно-развлекательный портал	Воскресенье, 19.05.2024, 13:37
		Главная Регистрация Вход

Приветствую Вас Гость | RSS

На Вашем сайте еще нет копилки? Тогда кликайте сюда.

Меню сайта

Разделы новостей

Новости города [6]

Для молодежи [1]

Поздравления [30]

Со всего света [25]

Бонусы и предложения [2]

Анекдоты и Юмор [56]

Информационные статьи [31]

Наш опрос

Главная » 2010 » Август » 26 » Лечение вируса Win32.HLLW.Autohit.3438

Лечение вируса Win32.HLLW.Autohit.3438

14:55

Инсталляция:
Главная особенность инсталляции заключается в том, что файл трояна должен быть запущен на сменном носителе (флешке), для начала инсталляции его в систему.

Вот и получается, что при запуске трояна с флешки, он копирует свои файлы в директорию System32\ с атрибутами скрытый системный:

csrcs.exe;
autorun.i;
autorun.in.

C:\Documents and Settings\All Users\Документы\
(random_name.exe) uawdmt.exe

Метка вируса, файл нулевой длинны "kht" с атрибутами скрытый системный.
Запрещает отображение скрытых файлов.

Запускается с системой, изменив параметр ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe csrcs.exe

Методы борьбы:
Метод первый (Для тех, кто любит сложности)

Отключаем сеть! (выдергиваем сетевой кабель из карты);
Отключаем восстановление системы (вызываем "Свойства" (Мой компьютер) - вкладка "Восстановление системы". Галочку на "Отключить восстановление системы на всех дисках". Нажимаем ОК;
Завершаем в ручную в "Диспетчере задач" процесс "csrcs.exe". Для восстановления отображения скрытых файлов исспользуем утилиту AVZ:
- запускаем ее;
- выбираем "Файл" - "Восстановление системы" - галочка на пункте №8 и нажимаем "Выполнить отмеченные операции";
- по окончании выполнения задачи, закрываем программу.
Заходим в любую папку, выбираем:
- "Сервис" - "Свойства папки" - "Вид" - ставим галку на "Отображать содержимое системных папок";
- убираем галку на "Скрывать защищенные системные файлы";
- ставим галку на "Показывать скрытые файлы и папки";
- убираем галку на "Скрывать расширения для зарегистрированных типов файлов";
- нажимаем ОК.
Заходим в "Пуск" - "Мой компьютер" - С:\WINDOWS\system32\. Находим и удаляем файл червя "csrcs.exe".
Удаляем все точки восстановления системы (Загружаемся из под Windows Live CD. После загрузки Windows Live CD заходим в корень каждого локального диска в папку "System Volume Information" и полностью удаляем содержимое папки).
Заходим на каждый раздел жесткого диска и удаляем файлы под названием "kht".
Чистим ключи реестра ("Пуск" - "Выполнить" - "regedit" - "F3" - в появившемся окне ввести "csrcs", удалить строковые параметры со значением "csrcs".) измененные червем:
- HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ - имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ - имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe)
Включаем восстановление системы.
Перезагружаем операционную систему.

Если не почистить реестр в ручную или не исправить ключ реестра, то при каждом запуске Windows система будет выдавать сообщение. Подробнее здесь.

Метод второй
Рекомендую использовать обновленную версию Dr. Web Live CD. Подробности его использования можно прочитать здесь.
Преимущества по сравнению с первым методом: меньше мороки, а заодно и система полностью почистится.
Преимущества первого метода: такие методы расширяют познания в вирусологии, основах строения операционных систем и компьютере в целом.

Категория: Информационные статьи | Просмотров: 2294 | Добавил: fc | Рейтинг: 5.0/2 |