05.03.2005, 16:59
А теперь внимание всем, рассказываю, как я победил у себя зверя по кличке backdoor.win32.agent.go под Windows XP sp2
Краткое описание этой тварюги.
1. в system32 появляются следующие файлы: svchsot.exe, mscolsrv.exe, server.dll.
Первые два это и есть backdoor.win32.agent.go в чистом виде, последний же – это trojan-dropper, который скорее всего и закидывает эту гадость, хотя точно мне это не известно. Могу лишь сказать, что если всю эту малину удалить, она появится снова в полном комплекте.
2. В автозапуске появляется запись system.wbs, которую тоже бесполезно удалять.
3. В процессах висит svchsot.exe и занимает 99 процентов процессора, скажу даже более того, все это время он активно копирует себя, создавая скрытые экзешники с именами, которые он найдет на диске. Занимает места на диске Троян около 70 kb, (плюс, минус 10).
4. Если его удалить из процессов, то он появится, как только вы попытаетесь запустить любое приложение. А вот само приложение так и не запустится.
5. Само собой в реестре появляются записи со ссылками на svchsot.exe и mscolsrv.exe, но вот только увидеть вы их тоже не сможете, так как редактор реестра вам также не запустить.
6. Возможно вы сделаете попытку войти в систему в безопасном режиме. Надеюсь, что у вас это получится лучше, чем у меня, так как мне это так и не удалось сделать. Ну не грузился он в безопасном и все тут.
А теперь первая хорошая новость – можно запустить Мой компьютер с рабочего стола.
Более того, если вы нажмете на какое-либо приложение правой кнопкой мышки и запустите его от имени встроенной учетной записи Администратор (надеюсь, что она у вас есть), то у вас это получится.
Теперь смекаете, что надо делать.
1.Удаляете из процессов злополучный svchsot.exe
2. Запускаете дистрибутив Касперского, так как скорее всего он у вас не стоит, и устанавливаете его.
3. Потом не плохо было бы его обновить. По счастью у меня на диске были свежие базы, как вам это удастся сделать я не знаю.
4. Просканить комп. Лично у меня Каспер отловил около 7800 тел этого Трояна.
5. Переустановить Windows, так как он один хрен теперь нормально не работает.
6. На новый Windows поставить хороший антивирус и фаервол и впредь не повторять таких ошибок.
Всего вам доброго.
Если вам есть что сказать, то можете написать мне на tosha18 @rambler.ru
Краткое описание этой тварюги.
1. в system32 появляются следующие файлы: svchsot.exe, mscolsrv.exe, server.dll.
Первые два это и есть backdoor.win32.agent.go в чистом виде, последний же – это trojan-dropper, который скорее всего и закидывает эту гадость, хотя точно мне это не известно. Могу лишь сказать, что если всю эту малину удалить, она появится снова в полном комплекте.
2. В автозапуске появляется запись system.wbs, которую тоже бесполезно удалять.
3. В процессах висит svchsot.exe и занимает 99 процентов процессора, скажу даже более того, все это время он активно копирует себя, создавая скрытые экзешники с именами, которые он найдет на диске. Занимает места на диске Троян около 70 kb, (плюс, минус 10).
4. Если его удалить из процессов, то он появится, как только вы попытаетесь запустить любое приложение. А вот само приложение так и не запустится.
5. Само собой в реестре появляются записи со ссылками на svchsot.exe и mscolsrv.exe, но вот только увидеть вы их тоже не сможете, так как редактор реестра вам также не запустить.
6. Возможно вы сделаете попытку войти в систему в безопасном режиме. Надеюсь, что у вас это получится лучше, чем у меня, так как мне это так и не удалось сделать. Ну не грузился он в безопасном и все тут.
А теперь первая хорошая новость – можно запустить Мой компьютер с рабочего стола.
Более того, если вы нажмете на какое-либо приложение правой кнопкой мышки и запустите его от имени встроенной учетной записи Администратор (надеюсь, что она у вас есть), то у вас это получится.
Теперь смекаете, что надо делать.
1.Удаляете из процессов злополучный svchsot.exe
2. Запускаете дистрибутив Касперского, так как скорее всего он у вас не стоит, и устанавливаете его.
3. Потом не плохо было бы его обновить. По счастью у меня на диске были свежие базы, как вам это удастся сделать я не знаю.
4. Просканить комп. Лично у меня Каспер отловил около 7800 тел этого Трояна.
5. Переустановить Windows, так как он один хрен теперь нормально не работает.
6. На новый Windows поставить хороший антивирус и фаервол и впредь не повторять таких ошибок.
Всего вам доброго.
Если вам есть что сказать, то можете написать мне на tosha18 @rambler.ru