Прочее компьютерное
что за вирус win32.HLLW.Kati
Зайди по ссылке, попробуй найди описание "своего вируса" ,это здесь. Удачи.
Тип вируса: Червь
Уязвимые ОС: WinNT-based
Размер: 117 248 байт
Упакован: UPX
Техническая информация
Написан на языке программирования Visual Basic.
При своём запуске создаёт несколько копий исходного файла:
%Systemroot%\System32\ctfmon.exe
%Systemroot%\System32\рsagоr18.sys
%Systemroot%\System32\АHTОMSYS19.exe
%Systemroot%\System32\DETER177\smss.exe
%Systemroot%\System32\DETER177\svсhоst.exe
%Systemroot%\System32\DETER177\lsass.exe
Все файлы имеют атрибут "Скрытый". Одновременно в памяти находятся две копии червя. При попытке завершить одну из них, происходит её автоматический перезапуск. Помимо этого, некоторые символы в именах файлов-носителей являются кириллическими.
Для обеспечения своего запуска при каждом старте Windows регистрирует созданные копии в системном реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
lsass = %Systemroot%\System32\DETER177\lsass.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
сtfmоn.exe = %Systemroot%\system32\сtfmon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = Explorer.exe %Systemroot%\system32\АHTОMSYS19.exe
Осуществляет попытки определить окна программ мгновенного обмена сообщениями и, при обнаружении таковых, вставляет в них текст ""Я незнаю ее там помоему небыло (((... вот, посмотри {ссылка на архив}".
Обладает функционалом работы с электронной почтой.
При наличии подмонтированного flash-накопителя создаёт на нём свою копию flash.scr с иконкой папки.
Уничтожает файлы *.doc, *.xls, *.rtf, перезаписывая их мусорным текстом инвективного содержания. В файлы в формате *.bmp, *.jpg вставляет свой jpeg с надписью Penetrator.
Может создать файлы cdburn.exe и соответствующий autorun.inf в каталоге%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning.
Обладает возможностью создания копий своего файла в каталогах общего доступа, пути к которым сохранены в %USERPROFILE%\NetHood.
Отслеживает отображение предупреждающих окон разраличных антивирусов и межсетевых экранов и закрывает их. Помимо этого, отслеживает запуск Regedit и сдвигает его окно за пределы экрана.
Информация по восстановлению системы
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также все доступные на момент сканирования flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить графические файлы *.bmp, *.jpg, а также документы *.doc, *.xls, *.rtf из резервных копий.
Уязвимые ОС: WinNT-based
Размер: 117 248 байт
Упакован: UPX
Техническая информация
Написан на языке программирования Visual Basic.
При своём запуске создаёт несколько копий исходного файла:
%Systemroot%\System32\ctfmon.exe
%Systemroot%\System32\рsagоr18.sys
%Systemroot%\System32\АHTОMSYS19.exe
%Systemroot%\System32\DETER177\smss.exe
%Systemroot%\System32\DETER177\svсhоst.exe
%Systemroot%\System32\DETER177\lsass.exe
Все файлы имеют атрибут "Скрытый". Одновременно в памяти находятся две копии червя. При попытке завершить одну из них, происходит её автоматический перезапуск. Помимо этого, некоторые символы в именах файлов-носителей являются кириллическими.
Для обеспечения своего запуска при каждом старте Windows регистрирует созданные копии в системном реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
lsass = %Systemroot%\System32\DETER177\lsass.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
сtfmоn.exe = %Systemroot%\system32\сtfmon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = Explorer.exe %Systemroot%\system32\АHTОMSYS19.exe
Осуществляет попытки определить окна программ мгновенного обмена сообщениями и, при обнаружении таковых, вставляет в них текст ""Я незнаю ее там помоему небыло (((... вот, посмотри {ссылка на архив}".
Обладает функционалом работы с электронной почтой.
При наличии подмонтированного flash-накопителя создаёт на нём свою копию flash.scr с иконкой папки.
Уничтожает файлы *.doc, *.xls, *.rtf, перезаписывая их мусорным текстом инвективного содержания. В файлы в формате *.bmp, *.jpg вставляет свой jpeg с надписью Penetrator.
Может создать файлы cdburn.exe и соответствующий autorun.inf в каталоге%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning.
Обладает возможностью создания копий своего файла в каталогах общего доступа, пути к которым сохранены в %USERPROFILE%\NetHood.
Отслеживает отображение предупреждающих окон разраличных антивирусов и межсетевых экранов и закрывает их. Помимо этого, отслеживает запуск Regedit и сдвигает его окно за пределы экрана.
Информация по восстановлению системы
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также все доступные на момент сканирования flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить графические файлы *.bmp, *.jpg, а также документы *.doc, *.xls, *.rtf из резервных копий.
Евгений Акимов
947
Похожие вопросы
- Как вылечить комп от вируса Win32.HLLW.Shadow.based? Dr.Web не лечить и Avast тоже!
- ПОМОГИТЕ C:\System Volume Information в ней вирус- win32.hllw.zoran
- Вирус Win32 Malware-gen
- Что делает вирус Win32/TrojanDownloader.Delf ???
- у меня вирус win32.sality. он лежит в system32 под файлом wmdrtc32.dll!
- Кто что то знает про вирус Win32:Jeefo? Как убить эту тварь?
- Чем опасен вирус win32:neshta?
- чем страшен вирус win32
- как удалить вирус Win32 Conficker? День спокойно, с утра снова антивирусник визжит!
- Что делает с компом вирус Win32 kido ?