1 Ответ от windtalker

  • Зарегистрирован: 2010-01-21
  • Сообщений: 52

Re: Удаляем Trojan-PSW.Win32.OnLineGames

Вступление.
Заражение происходит либо же через Интернет либо через flash накопитель (через autorun)
На компьютер пользователя устанавливается Rootkit, который блокирует возможность удаления программы, удаляет сам утилиты следящие за поведением объектов (так на подопытном ноутбуке были удалены FileMon и RegMon), используется в качестве оболочки (shell) и закрывает просмотр скрытых и системных файлов.

Представление начинается.
Вредоносные файлы : на каждом съемном носителе и локальном диске в корень копируются oufddh.exe и autorun.inf
в директорию %system%/system32 - файл amvo.exe и amvo0.dll (amvo1.dll)
Ворует с персонального компьютера пароли и логины для online-игр

Как удалить
Сначала снимает "подозрительные процессы" - какие процессы подозрительные - читайте в статье "Поиск и удаление вирусов вручную"
Вариант использования альтернативной оболочки (Talisman, TC)
Я использовал Total Commander. 1 > запускаем его, идем в корень каждого диска > удаляем oufddh.exe и autorun.inf
2. Утилитой Autoruns удаляем из автозагрузки amvo.exe
3. Утилитой Unlocker делаем удаление amvo0.dll (после переагрузки)
4. Удаляем amvo.exe из %system%/system32
5. Пуск > Выполнить > regedit
Найти строку : "oufddh.exe" . Удаляем все найденные записи.
Перезагружаемся, радуемся.

2 Ответ от windtalker

  • Зарегистрирован: 2010-01-21
  • Сообщений: 52

Re: Удаляем Trojan-PSW.Win32.OnLineGames

появилась модификация этого же вируса (создает через u2.cmd и autorun.inf). Удаляется либо же вручную, либо автоматизировано при помощи AVZ (Антивирус Зайцева), в программе выполняем следующий скрипт :

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('С:\WINDOWS\system32\txp3.cpl','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('С:\WINDOWS\system32\webcheck.dll', '');
QuarantineFile('С:\WINDOWS\system32\iedkcs32.dll', '');
QuarantineFile('С:\WINDOWS\system32\amvo.exe','');
QuarantineFile('С:\WINDOWS\System32\Drivers\a20w1b u3.SYS','');
QuarantineFile('С:\WINDOWS\ContextMenuExt.dll','') ;
DeleteFile('С:\WINDOWS\system32\amvo.exe');
DeleteFile('D:\u2.cmd');
DeleteFile('C:\u2.cmd');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
ExecuteRepair(6 );
ExecuteRepair(8 );
ExecuteRepair(9);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
end.

если съемных носителей больше то добавить буквы или удалить вручную

3 Ответ от Кенни

  • Зарегистрирован: 1970-01-01
  • Сообщений: 15

Re: Удаляем Trojan-PSW.Win32.OnLineGames

насчет autorun.inf
Видимо китайская поделка сильно порадовала весь мир и теперь все дружно клепают этот модуль в свои троянчики. Этот троян также не стал исключением. Как уже понятно из названия модуль  копирует себя во все флешки и дискетки и пишет тело трояна на флешку и прописывает в авторан.инф.

4 Ответ от blod

  • blod
  • New member
  • Неактивен
  • Зарегистрирован: 1970-01-01
  • Сообщений: 0

Re: Удаляем Trojan-PSW.Win32.OnLineGames

Интересные троянчики, простые и весьма успешные. Лучшая защита -  удаление Windows smile

5 Ответ от windtalker

  • Зарегистрирован: 2010-01-21
  • Сообщений: 52

Re: Удаляем Trojan-PSW.Win32.OnLineGames

лучшее решение - прямые руки, тогда даже антивирус не нужен, так пару утилит

6 Ответ от qwertyzx

  • qwertyzx
  • New member
  • Неактивен
  • Зарегистрирован: 2010-10-02
  • Сообщений: 3

Re: Удаляем Trojan-PSW.Win32.OnLineGames

А я если что,то проверяю периодически свой комп бесплатной утилитой Drweb вот такой... ибо мой НОД32 пропускает