Sisteme de satelit în Ivanovo - ajutor calculator în Ivanovo

Recent, utilizatorii de PC-uri sunt puternic molestat de virusul Penetrator.

Originea virusului și etimologia numelui
Numele virusului provine din penetrare (engleza) - penetrează în interior, trece prin, trece; pentru a pătrunde (smth.) în scopuri de spionaj.






Există legende diferite despre originea virusului. Se presupune că studentul-programator rus, respins de prietena sa, a decis să se formeze în acest fel pentru ea, și în același timp - și întreaga lume digitală ...

Clasificarea virusului
Antivirusurile identifică malware-ul în moduri diferite (ca întotdeauna!): De exemplu, Panda Antivirus îl numește Worm W32 / Penetrator.A.worm; Kaspersky Anti-Virus consideră că este un troian Trojan-Downloader.Win32.VB ...

Cum apare infecția?
Mijloace de raspandire a virusului - Internetul, medii flash.
Infecția, ca regulă, apare în timpul lansării unui fișier deghizat ca un ecran de tip splash * .scr, mai puține cazuri în care virusul cade sub fișierele .mp3.
După infecție, la toate intrți (și pentru toate PC-urile conectate la operatorii de transport infectate) este copiat in forma virusului corpului imya_papki.scr imya_papki.exe sau fișiere.

În plus, virusul creează următoarele fișiere:
• WINDOWSsystem32deter * lsass.exe (spre deosebire de lsass.exe curent, care se află în folderul WINDOWSsystem32);
• WINDOWSsystem32deter * smss.exe (spre deosebire de actualul smss.exe care se află în folderul WINDOWSsystem32);
• WINDOWSsystem32deter * svshost.exe (literele C și O - chirilică, în contrast cu prezenta svchost.exe);
• WINDOWSsystem32ahtomsys * .exe (de exemplu, ahtomsys19.exe);
• WINDOWSsystem32stfmоn.exe (literele cu și о sunt chirilice, spre deosebire de ctfmon.exe prezent);






• WINDOWSsystem32psagor * Exe (sau psagor * .sys sau psagor * .dll; de exemplu, psagor18.dll).
Fișierele au atributele ascunse. Sistem. Citiți numai. Dimensiunea este de 114.5KB.

Virusul se înregistrează în registrul Windows în Shell REG_SZ-parametrii și secțiunea Userinit [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

ahtomsys fișiere * .exe, stfmon.exe false și psagor * .exe prescrise la pornire (a se vedea. secțiunea a Registrului [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Virusul este rezident, este încărcat pe PC-ul infectat împreună cu sistemul de operare și este prezent în mod constant în memoria RAM.

Cum să eliminați consecințele distructive ale virusului
1. Verificați hard disk-ul cu un antivirus fiabil cu baze proaspete.

2. Ștergeți (dacă nu au fost distruse de antivirus) fișierele folder_name.scr și nume_pagină.exe.

3. Ștergeți următoarele fișiere (dacă nu au fost distruse de antivirus):
• WINDOWSsystem32deter * lsass.exe (ștergeți fișierul cu folderul păstrați *);
• WINDOWSsystem32deter * smss.exe (ștergeți fișierul împreună cu folderul desc *);
• WINDOWSsystem32deter * svshost.exe (litere C și O - chirilică, în contrast cu prezenta svchost.exe; șterge un fișier cu un dosar descuraja *);
• WINDOWSsystem32ahtomsys * .exe (de exemplu, ahtomsys19.exe);
• WINDOWSsystem32stfmоn.exe (literele cu și о sunt chirilice, spre deosebire de ctfmon.exe prezent);
• WINDOWSsystem32psagor * Exe (sau psagor * .sys sau psagor * .dll; de exemplu, psagor18.dll).

4. Verificați cheia de registry [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• Parametrul Shell REG_SZ trebuie setat la Explorer.exe;
• Parametrul REG_SZ Userinit ar trebui să aibă valoarea C: WINDOWSSystem32userinit.exe,

5. Scoateți din fișierele de pornire ahtomsys * .exe, pseudo-ctfmоn.exe și psagor * .exe (consultați secțiunea Registry
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

6. Ștergeți șablonul Normal.dot.

7. Încercați să recuperați fișierele șterse de virus.
Nu este necesar să fiți foarte flatat, dar ceva (dacă nu s-au înregistrat alte informații!) Va fi restabilită.
Deoarece fișierele .jpg sunt suprascrise de virusul sub același nume, dar cu conținut diferit, acestea nu pot fi restaurate.







Articole similare

Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: