Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Bistro

(Win32/PolyCrypt, Mal_Pai-2, Embedded.Win32.HLLW.Bistro, VirTool:Win32/Obfuscator.C, Parser error, Win32/Delf, Generic.dx, TR/Dldr.Delf.beo.15, Mal_Pai-9, TR/Dldr.Delf.beo.3, Trojan-Downloader.Win32.Delf.izu, Dropped:Trojan.Delf.KQ, PWS-Onlinegames.gen.dam, TR/Crypt.ZPACK.Gen, Downloader.Generic3.NDA, Generic9.WNU, TrojanDownloader:Win32/Troxen!rts , Embedded.Trojan-Downloader.Win32.Delf.beo, Trojan:Win32/Anomaly.gen!A , Dropped:Trojan.Downloader.Delf.BEO, TrojanDownloader:Win32/Troxen!rts)

Добавлен в вирусную базу Dr.Web: 2007-01-30

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер: 28 152 байта 17 784 байта

Упакован: UPACK

Техническая информация

  • При своём запуске создаёт в каталоге файлы %USERPROFILE%\Local Settings\Temp\rundll32.exe - копия исходного файла (28 152 байта) и %USERPROFILE%\Local Settings\Temp\setupx098.exe (17 784 байта).
  • Создаёт в системном каталоге динамическую библиотеку %SYSDIR%\msynggj.dll, которую регистрирует в поражённой системе как слубжу:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38184820-1373-6974-2652-279715442647}\InprocServer32\

  • Создаёт также следующую ветвь в реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\UrlMon
    "{38184820-1373-6974-2652-279715442647}"

  • Удаляет следующие ветви системного реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ptilink

    HKEY_USER\S-1-5-21-861567501-1677128483-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\

  • Осуществляет попытки распространения по локальной сети, производя поиск открытых для доступа каталогов.

Информация по восстановлению системы

1. Отсоединить поражённый компьютеры от локальной сети и/или Интернета.
2. Отключить службу Восстановления системы.
3. Скачать с заведома неинфицированного компьютера бесплатную лечащую утилиту Dr.Web CureIt!
4. Перезагрузить поражённіе компьютеры в Безопасный режим (F8 при старте Windows)
5. Просканировать все диски (включая и сетевые). Для найденных объектов применить действие "Лечить".
6. Удалить ветви системного реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38184820-1373-6974-2652-279715442647}\InprocServer32\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\UrlMon
"{38184820-1373-6974-2652-279715442647}"