В общем, загадила себе всю машину.
описалово вотоно:
Trojan.Win32.VB.atg
Троянская программа, написана на Basic, исполняемый файл известен под именем tel.xls.exe. Иконка файла визуально очень похожа на иконку документа Excel, что в сочетании двойным расширением «xls» должно вводить пользователя в заблуждение. Файл не сжат и не зашифрован, размер 45 кб.
В случае запуска скрытно выполняет следующие действия:
1. Создает файлы WINDOWS\system32\SocksA.exe, WINDOWS\system32\FileKan.exe, WINDOWS\svchost.exe, WINDOWS\Session.exe. Эти файлы содержат копию трояна. Кроме того, создается файл WINDOWS\BACKINF.TAB, по структуре являющийся файлом AUTORUN.INF с содержимым вида:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
2. Регистрирует SocksA.exe в автозапуске через ключ Run реестра
3. Запускает файл WINDOWS\svchost.exe
4. Вызывает проводник – командная строка имеет вид «explorer C:\» , после чего завершает работу
5. Троянский процесс svchost.exe выполняет в цикле операцию 1 из вышеописанного алгоритма и создает в корне диска файлы tel.xls.exe (атрибуты «скрытый», «системный») и AUTORUN.INF (атрибуты «скрытый» и «системный»). Файл AUTORUN.INF ссылается на tel.xls.exe и применяется для автозапуска трояна. Данная операция повторяется с задержкой примерно 5 секунд и применяется в качестве меры защиты от удаления. Кроме того, в трояне предусмотрена модификация параметра CheckedValue ключа реестра SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL. По умолчанию это значение имеет тип REG_DWORD и значение 1. Троян содержит программный код для работы с базой UFSYSTEM.
нашла способ избавления
http://vgdnet.ru/forum/showthread.php?p=5743
где первым шагом стоит:Переименовать в папке C:\Documents and Settings\[ваш пользователь]\Local Settings\Temp\3582-490 файлы svchost.exe и tel.xls.exe в любые названия.
но убей-зарежь, не вижу я у себя подобной папки, а следовательно дальше чото делать наверное не имеет смысла.
я покачто не паникую но почуть мандражирую, потому что по интернету пока что натыкаюсь в основном на подобный вид решения проблемы.
подскажите плизики, как бороться.
из защитного в данный момент имею нод32 со вчерашними базами, да касперский могу в принципе поставить.
[Ответ]
Сообщение от DeeP:
нашла способ избавления http://vgdnet.ru/forum/showthread.php?p=5743
где первым шагом стоит:Переименовать в папке C:\Documents and Settings\[ваш пользователь]\Local Settings\Temp\3582-490 файлы svchost.exe и tel.xls.exe в любые названия.
но убей-зарежь, не вижу я у себя подобной папки, а следовательно дальше чото делать наверное не имеет смысла.
Проводник->Сервис->Свойства папки->Вид->Показывать скрытые файлы и папки.
После этого идешь по указанному пути и переименовываешь файлы.
[Ответ]
$@#Y@, еще про системный файлы и папки забыл. Если открыть только скрытые, то системные видны не будут. Поэтому на время зачистки тоже флажок напротив "Показывать системные файлы" (меню может называться "Скрывать системные файлы", тогда флаг надо убрать. Просто не помню точного названия, а щас не под Виндой )
[Ответ]
