18:57 Записки молодого админа |
Краткое описание Троянская программа mvk.exe не попадает на компьютер без ведома пользователя, как это бывает с другими. Пользователь сам скачивает и запускает его т.к. думает, что это другая программа (для взлома контакта). Простенькая социальная инженерия :) Что творит в системе или деструктивная активность После запуска файла mvk.exe он удаляется, после чего появляется окно, в котором предложено ввести ID юзера "В Контакте". Если ввести любой ID и нажать кнопку, то появляется сообщение, что не возможно получить данные, т.к. уязвимость контакта уже закрыли. Т.ж. троян создает 3 файла во временной папке пользователя (%TMP%), один ярлык в папке автозагрузки, который запускает файл из %WinDir% (этот файл тоже трой делает) и 1 файл в %System%. Т.е. получается 6 файлов. В добавок трой изменяет ключ запуска проводника в реестре. И файл hosts. А теперь конкретнее... Файлы: %WinDir%\activate.exe %System%\loio.jho %TMP%\2.tmp %TMP%\3.tmp %TMP%\4.tmp %StartDir%\Quick Office.lnk И реестр: Ветка - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, параметр - Shell, его значение - Explorer.exe rundll32.exe loio.jho soalsv. А должно быть просто - Explorer.exe. Как лечить Загрузиться в безопасном режиме (жать F8 после включения компа). Открыть диспетчер задач (Ctrl+Alt+Del или Ctrl+Shift+Esc) и "убить" процесс "activate.exe", если таковой имеется. Потом удалить файлы C:\Windows\activate.exe и C:\Windows\System32\loio.jho, удалить ярлык из папки Автозагрузка (Пуск -> Программы -> Автозагрузка) и удалить все файлы из временной папки пользователя (обычно C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp). Открыть редактор реестра (Пуск -> Выполнить..., ввести regedit и нажать ОК), перейти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, найти параметр Shell, дважды щелкнуть по нему мышкой и заменить его значение на "Explorer.exe" (без кавычек). Т.ж. нужно перейти в папку C:\Windows\System32\Drivers\etc\, открыть файл hosts в блокноте и удалить из него все строки за исключением "127.0.0.1 localhost". |
|
Всего комментариев: 0 | |