Последнее обновление Программного обеспечения налоговой заражено вирусом!. Друг мне сказал, я попробовал скачать файл, нод на него начал ругаться нашел троян.
вот ссылка на файл:
Посилання видалено
(обновление на версию 1.24)
Ппц уже и такими путями государство дурит. просто ппц
таки да, чёт есть
Технические детали
Троянская программа, предназначенная для кражи паролей пользователя. Является приложением Windows (PE EXE-файл). Собственной процедуры распространения не имеет. Написана на Borland Delphi. Размер зараженных файлов варьируется в пределах от 32 до 144 КБ.
Инсталляция
При запуске троянец создает в системе процесс с именем «SVOHOST.EXE».
Далее вирус копирует свой исполняемый файл в системный каталог Windows под именем «SVOHOST.exe». Данный файл обладает атрибутами «скрытый» и «системный»:
%System%\SVOHOST.exe
Также троян копирует себя в корневые директории всех логических дисков (за исключением C
под именем «sxs.exe» и с атрибутом «скрытый». Там же создается скрытый файл «autorun.inf», запускающий «sxs.exe» при открытии логического диска.
Троянская программа генерирует следующий файл:
%System%\winscok.dll
Вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"soundman" = "%System%\SVOHOST.exe"
Также троянец модифицирует ключ реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = dword:000000bd
После произведенных операций оригинальный троянский файл удаляется.
Деструктивная активность
Троянец завершает следующие процессы:
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
regedit.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
Вирус удаляет из ключа автозапуска системного реестра значения:
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
JQbkgu
Winhoxt
Вредоносная программа похищает сохраненные в системе пароли и отправляет собранную информацию на электронную почту злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс — «SVOHOST.EXE».
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить следующую ссылку из ключа автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"soundman" = "%System%\SVOHOST.exe"
Удалить созданные троянцем файлы из корневых директорий всех логических дисков (на диски заходить при помощи клика правой кнопкой мыши и нажатием кнопки «Открыть» во всплывающем меню. Это необходимо, чтобы «autorun.inf» не сработал и не запустил троянский процесс вновь):
%System%\SVOHOST.exe
%System%\winscok.dll
sxs.exe
autorun.inf
