Win32.HLLW.Autohit.3438


Описание:
Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 bytes. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.
Свое название (Win32.HLLW.Autohit.3438) троян получил в антивирусной компании DrWeb. В лаборатории Kaspersky, данный троян именуется, как Packed.Win32.Klone.bj. В компании ESET NOD32 - Win32/Packed.Autoit.Gen

Распространение:
Распространяется по сети посредством сканирования удаленных хостов и наличия на них открытого tcp\445 порта.
При присоединении "чистого" USB Flash-накопителя, копирует свое тело и файл запуска (random_name.exe) uawdmt.exe и Autorun.inf в корень USB-Flash.

Инсталляция:
Главная особенность инсталляции заключается в том, что файл трояна должен быть запущен на сменном носителе (флешке), для начала инсталляции его в систему.

Вот и получается, что при запуске трояна с флешки, он копирует свои файлы в директорию System32\ с атрибутами скрытый системный:

  • csrcs.exe;
  • autorun.i;
  • autorun.in.

C:\Documents and Settings\All Users\Документы\
(random_name.exe) uawdmt.exe


Метка вируса, файл нулевой длинны "kht" с атрибутами скрытый системный.
Запрещает отображение скрытых файлов.

Запускается с системой, изменив параметр ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe csrcs.exe

Методы борьбы:
Метод первый (Для тех, кто любит сложности)

  1. Отключаем сеть! (выдергиваем сетевой кабель из карты);
  2. Отключаем восстановление системы (вызываем "Свойства" (Мой компьютер) - вкладка "Восстановление системы". Галочку на "Отключить восстановление системы на всех дисках". Нажимаем ОК;
  3. Завершаем в ручную в "Диспетчере задач" процесс "csrcs.exe". Для восстановления отображения скрытых файлов исспользуем утилиту AVZ:
    • запускаем ее;
    • выбираем "Файл" - "Восстановление системы" - галочка на пункте №8 и нажимаем "Выполнить отмеченные операции";
    • по окончании выполнения задачи, закрываем программу.
  4. Заходим в любую папку, выбираем:
    • "Сервис" - "Свойства папки" - "Вид" - ставим галку на "Отображать содержимое системных папок";
    • убираем галку на "Скрывать защищенные системные файлы";
    • ставим галку на "Показывать скрытые файлы и папки";
    • убираем галку на "Скрывать расширения для зарегистрированных типов файлов";
    • нажимаем ОК.
  5. Заходим в "Пуск" - "Мой компьютер" - С:\WINDOWS\system32\. Находим и удаляем файл червя "csrcs.exe".
  6. Удаляем все точки восстановления системы (Загружаемся из под Windows Live CD. После загрузки Windows Live CD заходим в корень каждого локального диска в папку "System Volume Information" и полностью удаляем содержимое папки).
  7. Заходим на каждый раздел жесткого диска и удаляем файлы под названием "kht".
  8. Чистим ключи реестра ("Пуск" - "Выполнить" - "regedit" - "F3" - в появившемся окне ввести "csrcs", удалить строковые параметры со значением "csrcs".) измененные червем:
    • HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ - имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ - имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe)
  9. Включаем восстановление системы.
  10. Перезагружаем операционную систему.


Если не почистить реестр в ручную или не исправить ключ реестра, то при каждом запуске Windows система будет выдавать сообщение.

csrcs

Метод второй
Рекомендую использовать обновленную версию Dr. Web Live CD. Подробности его использования можно прочитать здесь.
Преимущества по сравнению с первым методом: меньше мороки, а заодно и система полностью почистится.
Преимущества первого метода: такие методы расширяют познания в вирусологии, основах строения операционных систем и компьютере в целом.