CHAIKA

Главная | Регистрация | Вход
Воскресенье, 24.11.2024, 16:20
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Все статьи [165]
Сервисы [26]
Антивирусы [4]
Антивирусы - Удаление антивирусов [4]
Антивирусы - NOD 32 [5]
Антивирусы - KAV & KIS [4]
Браузеры [3]
Загрузка - Менеджеры загрузки [0]
Загрузка - Правила закачки [0]
Загрузка - Сервисы для хранения файлов и изображений [0]
Запись [0]
Эмуляция [0]
Защита [63]
Игры - Крэк [0]
Локальная сеть [15]
Мультимедиа [0]
Мультимедиа - Аудио [0]
Мультимедиа - Видео [0]
Мультимедиа - Графика [0]
Мультимедиа - Флэш [0]
Настройки - Инструкции [54]
Операционная система [4]
Провайдеры Твери [8]
Система - Активация [8]
Система - Восстановление [5]
Система - Контроль [0]
Система - Обслуживание [0]
Система - Оптимизация [0]
Система - Справка [1]
Flash-накопители [1]
WEB-master [14]
WINDOWS 7 [18]
Новые статьи [2]
Статистика

3.144.108.200
Онлайн всего: 9
Гостей: 9
Пользователей: 0
Форма входа





Дай пять!получить кнопку


Главная » Статьи » Все статьи

Вредоносные программы семейства Trojan-Spy.Win32.Zbot: описание и методы удаления
Вредоносные программы семейства Trojan-Spy.Win32.Zbot: описание и методы удаления

В настоящее время вирусные аналитики Лаборатории Касперского отмечают все большее распространение троянских программ семейства Trojan-Spy.Win32.Zbot, которые используются злоумышленниками для кражи с компьютеров пользователей различной банковской информации. Как правило, работа данных вредоносных программ не сопровождается какими-либо визуальными эффектами, и это значительно усложняет ее обнаружение на компьютере-жертве, который не защищен антивирусной программой. Более того, с целью самозащиты программы данного семейства используют технологии rootkit, позволяющие им скрывать наличие своих исполняемых файлов и процессов. 


Основным путем проникновения программ семейства Trojan-Spy.Win32.Zbot на компьютер является посещение зараженных страниц в интернете. Однако принцип работы данного типа "троянцев" используют различные киберпреступники, и каждый из них придумывает свой способ проникновения на компьютер-жертву.

Единственной мерой предотвращения проникновения вредоносных программ семейства Trojan-Spy.Win32.Zbot  на ваш компьютер является установка на него антивирусной программы и регулярное обновление антивирусных баз, чтобы Антивирус "знал" о появлении новых модификаций данной троянской программы. В частности, приложения Лаборатории Касперского помогут вам предотвратить заражение всеми известными модификациями программы Trojan-Spy.Win32.Zbot и, при необходимости, удалить все следы заражения из системы.


Если же вы не используете антивирусную программу, то настоятельно рекомендуем вам перед совершением банковских операций через интернет проверить компьютер на наличие модификаций программы Trojan-Spy.Win32.Zbot при помощи специальной утилиты ZbotKiller.exe. И, в случае обнаружения, пролечить зараженную систему. 

Ниже в статье вы найдете описание мест в системе, куда программы Trojan-Spy.Win32.Zbot обычно сохраняют свои данные (но, как указано выше, эти файлы могут быть скрыты), и способы запуска утилиты ZbotKiller.exe, предназначенной для обнаружения и удаления данной вредоносной программы.


 




Основные признаки заражения вредоносными программами семейства Trojan-Spy.Win32.Zbot



  1. В папках %windir%\system32 и %AppData% появляются файлы (один или несколько):

    • ntos.exe

    • twex.exe

    • twext.exe

    • oembios.exe

    • sdra64.exe

    • lowsec\\local.ds

    • lowsec\\user.ds

      Замечание%windir%\system32 и %AppData% это системные папки операционной системы Microsoft Windows. В зависимости от того, какая именно версия ОС установлена на вашем компьютере, путь к этим папкам меняется.
      Например, на ОС Windows Vista полные пути к этим папкам таковы: C:\Windows\System32 и C:\Users\<имя_профиля>\AppData. А на ОС Windows XP Professional - C:\WINDOWS\system32 и C:\Documents and Settings\<имя_профиля>\Application Data.

  2. Ссылки на указанные выше подозрительные файлы появляются в следующих ключах системного реестра:


    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  

 


Способы лечения зараженных систем


Лечение систем, зараженных вредоносными программами семейства Trojan-Spy.Win32.Zbot, производится с помощью утилиты ZbotKiller.exe. В ходе своей работы утилита:



  • Проводит быстрое сканирование системы на наличие заражения.

  • Находит и удаляет вредоносный код известных модификаций Trojan-Spy.Win32.Zbot, распространившийся в другие работающие на компьютере программы.


  • Устраняет функциональность вредоносных программ, которая используется для сокрытия вредоносных файлов и процессов (rootkit).


  • Удаляет вредоносные файлы и очищает системный реестр от активности троянских программ Trojan-Spy.Win32.Zbot.

 


Запуск утилиты ZbotKiller.exe можно производить непосредственно на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.



Локально
:


  1. Скачайте архив ZbotKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине.


  2. Запустите файл ZbotKiller.exe.

    Замечание

    По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту ZbotKiller.exe с ключом -y.



  3. Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения не требуется.



Удаленно, через Kaspersky Administration Kit:



  1. Скачайте утилиту ZBotKiller.zip и распакуйте архив.


  2. В Консоли Kaspersky Administration Kit создайте инсталляционный пакет для приложения ZbotKiller.exe . На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем.

    ЗамечаниеВ поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.


  3. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети. Вы можете запустить утилиту ZbotKiller.exe на всех компьютерах вашей сети.


    Запустите задачу на выполнение. Перезагрузка компьютера после его лечения с помощью утилиты ZbotKiller.exe не требуется.


Ключи для запуска утилиты ZbotKiller.exe из командной строки



-y - не ждать нажатия любой клавиши по окончании работы утилиты.
-s - "тихий" режим (без консольного (черного) окна).
-l <имя файла> - запись информации в файл.
-v - ведение расширенного отчета (необходимо вводить вместе с параметром -l).
-help - получение списка допустимых параметров .

Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита ZbotKiller.exe) используйте следующую команду:



zbotkiller.exe -y -l report.txt -v

Благодаря использованию параметра -y по окончании работы утилиты не появится активное окно командной строки, ожидающее нажатия любой клавиши для закрытия.



Источник: http://chaika2.ucoz.ru/publ/vredonosnye_programmy_semejstva_trojan_spywin32zbot_opisanie_i_metody_udalenija/9-1-0-404
Категория: Все статьи | Добавил: Chaika (11.02.2010)
Просмотров: 1226 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Лучшие сайты Рунета
  • Кулинарные рецепты













  • бесплатный счетчик посещений

    * *



    Copyright MyCorp © 2024 |

    Опция Просмотра Скрытых Файлов Сервера Оффлайн базы Зеркала обновлений NOD32 и Eset Smart Security Trojan.Winlock.19 удалить порноинформер Защитить Флэш-карту вирус автозапуска processinfo Conflicker Kido DDoS Autorun Инструкции по удалению продуктов Symantec Dr.Web KAV KIS Windows 7 активация оптимизация восстановление