1. Ресурс в общем доступе в сетке, под произвольным именем
2. Скрытая папка “wsnpoem” в system32.содержащая audio.dll, video.dll
3. ntos.exe в system32
4. Неубиваемый файл с раширением *.tmp,под произвольным именем
5. Скрытая папка Settings в Общих документах с содержанием *.dll desktop.ini.
Имя *.dll соответствовало имени ресурса открытого к общему доступу.
6. Плохое распознавание антивирусами
Признаки зараженной системы.Последствия.
1. Совершенно мертвый IE 7, никакого соединения.
2. Неубиваемый процесс iexplore.exe с захватом ресурсов процессора до 100% (в некоторых случаях грузится winlogon и один из svchost)
3. Нарастающее количество всевозможных файлов *.dll, *.exe в system32
4. Превращение ПК в “зомби”, прокси сервера для спама и дддос.
Методы лечения.
Методов лечения от этой зарасы в глобальной сити Интернет...не море...но много. Но единственный который сработал и опишу.
0. Первым же делом отключите сетевой кабель из ПК для предотвращения вредоносных действий со стороны вашего ПК.
1. Скачиваем программу AVZ ( данная программа работает на ядре Касперский Антивирус, но может работать рядом с любыми антивирусами и не нуждается в инсталляции ).
2. Запускаем программу и идем Фаил -> Выполнить скрипт
В появивщемся поле пишем:
- Код: Выделить всё • Развернуть
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('c:\huadio.tmp','');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\WINNT\system32\wsnpoem\video.dll');
BC_ImportALL;
BC_QrSvc('Wanacsnqraai');
BC_DeleteSvc('Wanacsnqraai');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Где WINNT - имя вашей папки с Windows
3. После выполнения скрипта ПК перезагрузится и при следующем старте такого мощного перегруза уже не будет. Но все равно троян с ОС полностью не удален.
4. Сново запускаем программу и идем Фаил -> Выполнить скрипт
Выполняем следующий скрипт:
- Код: Выделить всё • Развернуть
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\PROGRA~1\ARTSGR~1.RU\toolbar.dll','');
DeleteFile('C:\WINNT\system32\upd1177322939.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Где WINNT - имя вашей папки с Windows соответсвенно.
5. Компьютер сново перезагрузится и после этого троянский конь полностью ужален из ПК.
Действия после обезвреживания.
1. Кране настоятельно рекомендую установить Межсетевой экран (Firewall)
2. Установить антивирус и обновить базу сигнатур антивируса.
3. Проверить ПК антивирусом на наличие "остатков" от троянеца.
Материал взят с securitylab.ru и virusinfo.info
Мое мнение. Троянец очень легко подхватить, но с ним сложновато бороться. И после того как узнаешь что он делает, хочешь быстрее его искоренить из системы.
P.S. Этот троянец меня чуть не спровоцировал уйти с Windows
