Кто знает как удалить вот этих троянов!!!autorun.inf >>>>> Trojan-PSW.Win32.OnLineGames.mif
dosocom.com >>>>> Trojan-PSW.Win32.OnLineGames.mif При удалении пишет защищеный обьект недает удалить!!! Пробовал Авторун ,унлокер,AVZ,через безопасный режим в обход виндовз пробовал!!! Ничего невыходит защищеный обьект пишет снимите защиту!!! Вирус на флешке!!! Кстати Нод ,каспера, доктор веб с последними базами я тоже пробовал!!! Мож кто что посоветует!!!!
Threat Name : Trojan.PSW.Win32.OnLineGames.Mif
Alias : Troj/PSW.Win32.OnLineGames-Mif, Trojan.PSW.Win32.OnLineGames.Mif, TROJ_PSW.WIN32.ONLINEGAMES.MIF, PSW.Win32.OnLineGames.Mif, PSW.Win32.OnLineGames.Mif Trojan
Threat type : Trojan
Threatlevel : Low
Threat details :
Trojan.PSW.Win32.OnLineGames.Mif is a Trojan. This is a security risk and you should remove this threat immediately. Otherwise it may cause data loss or other misbehavior including performance degradation. It is highly recommended that you run
Solo antivirus to remove this Trojan.PSW.Win32.OnLineGames.Mif along with any other Viruses, Trojans, Worms, Adware, Spyware, Rootkits, and Malicious software.
Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52738 байт. Написана на Visual Basic.
Инсталляция
При запуске троянец копирует свой исполняемый файл под различными именами в корневой и системный каталоги Windows:
%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe
Троянец изменяет значения ключей реестра на следующие:
[HKCR\.bfc\ShellNew]
"Command" = "%System%\rundll32.com
%System%\syncui.dll,Briefcase_Create %2!d! %1"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"
[HKCR\cplfile\shell\cplopen\command]
@ = "rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
[HKCR\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
[HKCR\Drive\shell\find\command]
@ = "%WinDir%\explorer.com"
[HKCR\ftp\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com\" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@ = "%Program Files%\Internet Explorer\iexplore.com"
[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\Common Files\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKCR\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\common~1\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"
[HKCR\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"
[HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"
[HKCR\scriptletfile\Shell\Generate Typelib\command]
@ = "%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"
[HKCR\telnet\shell\open\command]
@ = "finder.com url.dll,TelnetProtocolHandler %l"
Таким образом, троянская программа будет запускаться каждый раз при попытке открытия пользователем файлов некоторых типов, запуске различных приложений, открытии логических дисков при помощи «Проводника» Windows, вызове интернет-ярлыков или веб-ссылок.
Деструктивная активность
В случае если на зараженном компьютере запущена онлайн-игра «World of Warcraft», троянец определяет, откуда был запущен процесс «wow.exe», и считывает содержимое следующих файлов в рабочей папке игрового клиента:
realmlist.wtf
update.ini
Также троянец следит за клавиатурным вводом пользователя на следующих интернет-страницах:
eu.logon.worldofwarcraft.com
tw.logon.worldofwarcraft.com
us.logon.worldofwarcraft.com
Троянец ищет в системе процесс с именем «woool.exe», определяет, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы:
\data\woool.dat
\data\game.ini
\data\*.update
update.lib.scf
\data\WOOOL88.DAT
\data\WOOOLe88.DAT
Собранную информацию троян отсылает на сайт злоумышленника.
Также троянская программа завершает процессы, которые содержат в своих именах следующие строки:
RAVMON
TROJDIE
KPOP
CCENTER
ASSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
TROJAN
MMSK