На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Proxy

Trojan-Proxy.Win32.Xorpix.v


Rootkit:  Нет
Синонимы:  BackDoor.Uragan (DrWeb)

Устанавливается в систему дроппером Trojan-Dropper.Win32.Small.aps. Размещается в папке C:\Documents and Settings\All Users\Документы\Settings\, имя файл - artm_new.dll, размер 19482 байта, у файл установлены атрибуты "скрытый" и "системный". Регистрируется как расширение Winlogon.
Данная троянская программа активно защищается от обнаружения и удаления:
1. При помощи монопольной блокировки ограничивается доступ к файлу artm_new.dll
2. Ключ реестра c регистрацией в качестве Winlogon расширения постоянно пересоздается, что делает бесполезным его удаление через редактор реестра или менеджеры автозапуска

Удаление вручную
1. Закрыть все запущенные приложения
2. Запустить AVZ, активировать AVZ Guard.
3. Зайти в менеджер автозапуска AVZ, найти элемент Winlogon, ссылающийся на artm_new.dll и удалить его. Это операция может не потребоваться, т.к. в результате работы AVZ Guard на изученном образце происходит самоуничтожение ключа в результате попытки его пересоздания
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
5. После перезагрузки найти и удалить artm_new.dll. Эту операцию в принципе можно сделать и после шага 3 - при помощи отложенного удаления

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.