fpio.org.ru - Форум

[kadet]

Всякие вирусы которые не лечатся влет

Обычное место жительство заразы для автозапуска:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[kadet]

Список системных служб svhost.exe (WinXP)

DHCP-клиент svchost.exe -k netsvcs
DNS-клиент svchost.exe -k NetworkService
Автоматическое обновление svchost.exe -k netsvcs
Вторичный вход в систему svchost.exe -k netsvcs
Диспетчер логических дисков svchost.exe -k netsvcs
Запуск серверных процессов DCOM svchost -k DcomLaunch
Инструментарий управления Windows svchost.exe -k netsvcs
Клиент отслеживания изменившихся связей svchost.exe -k netsvcs
Модуль поддержки NetBIOS через TCP/IP svchost.exe -k LocalService
Обозреватель компьютеров svchost.exe -k netsvcs
Определение оборудования оболочки svchost.exe -k netsvcs
Рабочая станция svchost.exe -k netsvcs
Сервер svchost.exe -k netsvcs
Служба восстановления системы svchost.exe -k netsvcs
Служба времени Windows svchost.exe -k netsvcs
Служба регистрации ошибок svchost.exe -k netsvcs
Службы криптографии svchost.exe -k netsvcs
Справка и поддержка svchost.exe -k netsvcs
Темы svchost.exe -k netsvcs
Уведомление о системных событиях svchost.exe -k netsvcs
Удаленный вызов процедур (RPC) svchost -k rpcss
Центр обеспечения безопасности svchost.exe -k netsvcs
Диспетчер авто-подключений удаленного доступа svchost.exe -k netsvcs
Протокол HTTP SSLsvchost.exe -k HTTPFilter
Расширения драйверов WMI svchost.exe -k netsvcs
Служба загрузки изображений (WIA) svchost.exe -k imgsvc
Служба обеспечения сети svchost.exe -k netsvcs
Служба серийных номеров переносных устройств мультимедиа svchost.exe -k netsvcs
Совместимость быстрого переключения пользователей svchost.exe -k netsvcs
Съемные ЗУ svchost.exe -k netsvcs
Узел универсальных PnP-устройств svchost.exe -k LocalService
Управление приложениями svchost.exe -k netsvcs
Фоновая интеллектуальная служба передачи svchost.exe -k netsvcs
Диспетчер подключений удаленного доступа svchost.exe -k netsvcs
Сетевые подключения svchost.exe -k netsvcs
Система событий COM+ svchost.exe -k netsvcs
Служба обнаружения SSDP svchost.exe -k LocalService
Служба сетевого расположения (NLA)svchost.exe -k netsvcs
Службы терминалов svchost -k DComLaunch
Телефония svchost.exe -k netsvcs
Windows Audio svchost.exe -k netsvcs
Доступ к HID-устройствам svchost.exe -k netsvcs
Маршрутизация и удаленный доступ svchost.exe -k netsvcs
Оповещатель svchost.exe -k LocalService
Планировщик заданий svchost.exe -k netsvcs
Служба сообщений svchost.exe -k netsvcs

[kadet]

Троянская программа Trojan.Mayachok.1
Антивирусы находят, блокируют в памяти - но при перезагрузке опять появляется.

http://vkontakte.ru/dream_lair Салават Валиуллин
Доброго времени суток всем... Не давно тоже столкнулся с этим, В последнее время эта напасть успела осложнить жизнь многим пользователям интернета, и я надеюсь найденный мной способ поможет сберечь время, деньги и нервы многим будущим пострадавшим от Trojan.Mayachok.1

Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что иногда пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.

Итак, выяснили, у нас действительно Trojan.Mayachok.1. Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто. Открываем редактор реестра - regedit.exe, находим ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и параметр AppInit_DLLs. Смотрим значение этого параметра. Если видим запись, подобную этой: "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll" (кроме tvhihgf.dll имя файла может состоять из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение. Перезагружаемся. После этого разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1. Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением .tmp из каталога C:\windows\system32. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.

Для пользователей x64 разрядных систем:

Троянец может находиться в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe

По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

------
Описание трояна: http://news.drweb.com/?i=1809