Вирус Trojan-Spy.Win32.Shiz.au
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 78848 байта.
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\6GNFOSV.EXE
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
«load» = «%System%\6GNFOSv.exe”
Модифицирует файл
%System%\drivers\hosts
таким образом, чтобы невозможно было зайти на сайты многих антивирусных компаний.
Ворует пользовательскую информацию, относящуюся к системам интернет-платежей Webmoney, FAKTURA, IBANK, INIST, Raiffeisen, BS-Defender,Сбербанк.
Также троян извлекает данные, находящиеся в буфере обмена и перехватывает ввод пользователя с клавиатуры (keylogger).
Копирует данные о посещенных страницах, перехватывает отправляемые данные.
Для этого троянец внедряет свой код в services.exe и устанавливает перехватчики на следующие API-функции:
CreateFileW
CryptEncrypt
GetFileAttributesExW
send
WSASend
GetWindowTextA
vb_pfx_import (sks2xyz.dll)
RCN_R50Buffer(FilialRCon.dll)
Также троян ищет в системе запущенные процессы
iexplore.exe
opera.exe
java.exe
javaw.exe
В случае нахождения устанавливает перехватчики на следующие API-функции:
Getaddrinfo
gethostbyname
inet_add
PeekMessageW
Собранную информацию троян отсылает на сайт злоумышленника.
http://***.cn/knok.php?id=
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи («Диспетчера задач») завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить значение параметра в ключе системного реестра:
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
«load» = “%system%\6GNFOSv.exe”
4. Перезагрузить компьютер.
5. Удалить файл:
%System%\6GNFOSV.EXE
6. Очистить содержимое папки
%Temp%
7. Произвести полную проверку компьютера антивирусом с обновленными базами.
20 Авг 2011 в 10:14
Отличная инструкция. Этот засранец произвел 200 атак на мой компьютер. Вот искал, может где пробился через NOD32.
05 Окт 2011 в 5:34
Доброго времени суток. Одним из решений проблемы с удалением вируса может быть:
1. Загрузка с дика альтернативной виндый. Такой как LiveCD или ERD Commander(командер предпочтительнее, если у вас винXP).
2. Удаление всей папки СистемныйДиск\Windows\AppPatch
3. Удаление ВСЕХ файлов из папки Recycle. (Такая папка существует на всех логических дисках)
4. Перегружаемся и наслаждаемся результатом.
__________________________________________________________________________
У меня вирус не просто сидел, а был подгружен в оперативную память. Если выше перечисленные методы не помогли, то вам необходимо поправить в реестре ветку Userinit\Winlogon (точно не помню где она, поэтому не стал расписывать как это делается, но в интрасети инфу по этой ветке найти не сложно)