Trojan-Proxy.Win32.Xorpix.v
Устанавливается в систему дроппером Trojan-Dropper.Win32.Small.aps. Размещается в папке C:\Documents and Settings\All Users\Документы\Settings\, имя файл - artm_new.dll, размер 19482 байта, у файл установлены атрибуты "скрытый" и "системный". Регистрируется как расширение Winlogon.
Данная троянская программа активно защищается от обнаружения и удаления:
1. При помощи монопольной блокировки ограничивается доступ к файлу artm_new.dll
2. Ключ реестра c регистрацией в качестве Winlogon расширения постоянно пересоздается, что делает бесполезным его удаление через редактор реестра или менеджеры автозапуска
Удаление вручную
1. Закрыть все запущенные приложения
2. Запустить AVZ, активировать AVZ Guard.
3. Зайти в менеджер автозапуска AVZ, найти элемент Winlogon, ссылающийся на artm_new.dll и удалить его. Это операция может не потребоваться, т.к. в результате работы AVZ Guard на изученном образце происходит самоуничтожение ключа в результате попытки его пересоздания
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
5. После перезагрузки найти и удалить artm_new.dll. Эту операцию в принципе можно сделать и после шага 3 - при помощи отложенного удаления