eco farming logo

Счетчик посетителей

mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterСегодня409
mod_vvisit_counterВчера338
mod_vvisit_counterНа этой неделе1626
mod_vvisit_counterНа прошлой неделе2066
mod_vvisit_counterВ этом месяце8829
mod_vvisit_counterВ прошлом месяце9957
mod_vvisit_counterЗа все время604675

Online (за 20 минут): 5
Ваш IP: 44.210.120.182
,
Сейчас: 2024-03-29 22:26
Как избавиться от вируса Win32.HLLM.Netsky.35328

Как избавиться от вируса Win32.HLLM.Netsky.35328

 

   Win32.HLLM.Netsky.35328 один из самых неприятных и опасных вирусов, появившихся в последнее время. Как и многие другие, он является червем почтовой рассылки и распространяется через разные электронные почтовые сервисы, как приложение к письму. Электронная почта является не только его главным местом обитания, но и способом заражения. Причем, червь способен реализовывать собственный протокол SMTP.

     У этого червя много названий: ZIP.Netsky.P, W32/Netsky.P.worm,W32/Netsky.p@MM>, I-Worm.Netsky.q Win32.Netsky.P, WORM_NETSKY.P и другие не менее непонятные. Действие червя направлено на операционную систему Windows всех версий (95/98/ME/NT/2000/XP/VISTA).  При заражении компьютера, червь удаляет ключи из системного реестра. Главным признаком заражения является появление на компьютере (в системном каталоге Windows) странных файлов типа userconfig2x.dll, FVProtect.exe, zip2.tmp zipped.tmp и других

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Norton Antivirus AV = \WinDir\ userconfig2x.dll.

    У этого червя небольшой размер, всего 29568 байт, поэтому его легко не заметить. При проникновении в компьютер он пользуется различного рода уязвимостями системных заголовков. Вирус автоматически запускается при открытии письма через любую почтовую программу («MS Outlook Express», «The Bat») и другие. Действие вируса направлено на файлы следующих форматов: tbb, uin,  adb, cgi, shtm, xml, jsp, msg, wsh, oft, dbx, rtf, wab, html, pl, htm, asp, php, txt, eml, dhtm,  vbs, doc.

    При этом названия, которые вирус применяет для обозначения своих файлов, зачастую маскируются под установочные, более новые версии различных программ, в том числе и стандартных программ Windows, таких как браузеры, офисные приложения, игры, аудио и видеоплейеры, программы для работы с графикой и другие, которые на первый взгляд кажутся обычными программами.

    Из-за  схожести названий с офисными программами его порой весьма сложно заметить среди остальных файлов.

    Win32.HLLM.Netsky.35328 удаляет такие важные ключи из системного реестра как: direct.exe; winupd.exe; explorer.exe; taskmon.exe.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jijb
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Video
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ssate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OLE
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmon.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

    Для устранения вируса и лечения нужно загрузить компьютер в безопасном режиме и воспользоваться лечащими антивирусными программами (Kaspersky, Dr.Web), очистить реестр Windows и восстановить при помощи резервной копии.

 

Координаты : 8 (383) 263-03-41

Линейная 114, оф 11


Работает на Центр Компьютерных Технологий!.