Как удалить Win32.HLLM. Netsky. based?
Как удалить Win32.HLLM. Netsky. based?
Win32.NetSky. b является одним из самых опасных вирусов - червей, который распространяется через глобальную паутину. Этот червь известен и под именем I-Worm. Moodown. b. Этот червь имеет небольшой размер 21 КВ и упакован программой UPX.
В то время когда червь запускается, он выводит следующее сообщение:
Следующая задача вируса - это копирование себя в каталог «Windows» с именем "services. exe", а после регистрирует файл в автозапуске системного реестра.
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"service" = "%windir%services. exe - serv"
Червь распространяет свои копии в различных подкаталогах. Эти подкаталоги содержат слово «Share» или «Sharing» на различных дисках компьютера с такими именами, как:
winxp_crack. exe
dolly_buster. jpg. pif
strippoker. exe
photoshop 9 crack. exe
matrix. scr
porno. scr
angels. pif
hardcore porn. jpg. exe
office_crack. exe
serial. txt. exe
cool screensaver. scr
eminem - lick my pussy. mp3.pif
nero.7.exe
virii. scr
e-book. archive. doc. exe
max payne 2.crack. exe
how to hack. doc. exe
programming basics. doc. exe
e. book. doc. exe
win longhorn. doc. exe
dictionary. doc. exe
rfc compilation. doc. exe
sex sex sex sex. doc. exe
doom2.doc. pif
После этого, вирус копирует различные копии с архивированным форматом ZIP.
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!
Данный червь прописывается с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab. При удалении червя Mydoom, вирус ищет в системном реестре «Windows» ключи «Explorer» и «Taskmon».
Далее, троянец прописывает ключи «Explorer» и «Taskmon» в скрипте:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]
После этого, программа удаляла ключи:
[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
На последнем этапе, троянская программа производит удаление системного реестра «Windows» ключи «KasperskyAv» и «system».
После выявления и удаления троянской программы необходимо осуществить полную проверку обновленным антивирусом.
Советуем к прочтению:
Скорая компьютерная помощь и ремонт компьютеров возле метро Проспект Вернадского!