Авторизация
Ник
Пароль:
      
Вирусы
Список конференций  Список ТемСоздать новую тему  Добавить свой ответ
Guest (Новичок)
Не убивается reader_s.exe  
Здравствуйте. Где то в сети цепанул троян. Теперь в процессах висит reader_s.exe. В "process explorer" видно что то запускает сперва svchost.exe потом акие то temp  и в итоге еще пару reader_s.exe и обновление windows. Cure It находит его и пару его компонентов. Но после перезагрузки и подключения к инету тот опять проявляет активность. Знаю что это файловый вирус, но никак не могу от него избавиться
 06.07.2009 23:47 
VirusHunter (Администратор)
 
Здравствуйте. Давайте пока не будем делать поспешных выводов о файле, который с большой вероятностью может оказаться безобидным компонентом какой-нибудь легальной программы. Перешлите, пожалуйста, подозрительный файл мне на изучение. Для этого запакуйте его в архив под пароль 1 и отошлите на емэил, указанный в разделе "Компьютерные вирусы" нашего сайта. В теме письма напишите Файлы для изучения
 07.07.2009 03:53 
VirusHunter (Администратор)
 
Пересланный на изучение файл был изучен; вот результаты:

reader_s.exe является зашифрованной троянской программой, написанной на Borland Delphi, и обработанной поверх каким-то пакером (утилитой компрессии). В распакованном виде имеет размер 36864 кб (исходный - 26624 кб). При запуске загружается в память, активируя дополнительный системный поток svchost.exe, затем ждёт порядка 1 минуты, после чего пытается связаться с одним из 9-ти серверов, откуда может получать команды удалённого управления инфицированным компьютером и скачивать др. вредоносные программы.
Для своей активации троянец создаёт 2 копии файла в следующих каталогах:

\Documents and Settings\%каталог текущего пользователя%\reader_s.exe

\%windir%\System32\reader_s.exe

Копии получают управление за счёт следующих ключей реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Reader_s"="%drive%\\Documents and Settings\%username%\\reader_s.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Reader_s"="%drive%\\%windir%\\System32\\reader_s.exe"

При этом ключи создаются сразу, а вот копии файла только в том случае, если троянцуудалось подключиться к одному из серверов злоумышленников; в противном случае, копии не создаются. Попытки подключения повторяются с интервалом в 50 секунд.
Для удаления троянца из системы перезагрузите компьютер в Безопасный режим, после чего удалите исходную копию троянца, а также 2 созданных им, после чего можете работать в обычном режиме.
Рекомендую проверить системный раздел антивирусом с самой свежей базой, чтобы выявить возможное заражение др. вредоносными программами, загруженными троянцем с хакерских серверов.
 14.07.2009 07:00 

Пришло время электрокаров!
Новости, обзоры, видео, все об электромобилях Tesla на форуме TeslaTime.com.ua.


Добро пожаловать на наш Компьютерный Форум. Здесь Вы можете задавать свои вопросы касательно работы компьютера и его комплектующих, программного обеспечения и софта.
Всегда рады Вам помочь!!!
Rambler's Top100

0.00676488876343