tok cirrhatus что это
кто имел дело с вирусом Brontok
Email-Worm.Win32.Brontok.a («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset) Детектирование добавлено12 окт 2005 17:16 MSK
Обновление выпущено12 окт 2005 21:22 MSK
Описание опубликовано01 фев 2006
ПоведениеEmail-Worm, почтовый червь
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoFolderOptions»=»1»
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Имя файла-вложения:
Kangen.exe
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Подскажите пожалуйста при загрузке компьютера появляется надпись. Не удалось найти C:\windows\eksplorasi.exe Как удалить
Вируссссссс)) )
Лечится большинством антивирусов, вот только при старте системы вылазит сообщение типа «Файл c:\windows\system32\eksplorasi.exe не найден» В принципе ничего страшного, но глаза режет. лечится поиском в реестре Eksplorasi.exe тама будет что то типа «explorer.exe c:\windows\system32\eksplorasi.exe»
так вот оставить только Explorer.exe
это Email-Worm.Win32.Brontok.a (Kaspersky), W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (AntiVIR), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset).
Технические детали.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные
письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция.
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoFolderOptions»=»1»
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Имя файла-вложения:
Kangen.exe
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Tok cirrhatus что это
no comments
| Цитата |
|---|
| Я конечно извиняюсь, но кто нить ответит что за зверь такой Win32/Brontok.AQ или хотябы чем он отличается от Email-Worm.Win32. Brontok.a или Email-Worm.Win32. Brontok.q |
Email-Worm.Win32.Brontok.q также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Если вы были бы более внимательны, а не создавали несколько ников подряд, то обнаружили отдельную статью ему посвёщнную в обзорах вредоносного софта: http://www.securitylab.ru/virus/262258.php
| Цитата |
|---|
| Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. |
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
При этом червем игнорируются адреса, содержащие следующие подстроки:
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
Помогите Tok-Cirrhatus (бронток) (заявка № 39489)
Опции темы
В автозагрузке нашел Tok-cirrhatus с коммандой по адресу «C:\Users\MyName\AppData\Local\smss.exe»
Каспер и нод его не видят
Как это животное пустить в расход.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пришлите карантин по правилам и повторите логи.
Гриша сделал всё как сказал.
Проблема остается
Я в логах его тоже не вижу. А просто удалить не пробовали?
Ты суслика видишь? Нет! И я нет! А он есть. 
Дык это правильный smss, вот и не удаляется.
Выше речь шла о C:\Users\MyName\AppData\Local\smss.exe
Я к нему подобраться не могу.
Итог лечения
Уважаемый(ая) morozik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Tok cirrhatus что это
no comments
| Цитата |
|---|
| Я конечно извиняюсь, но кто нить ответит что за зверь такой Win32/Brontok.AQ или хотябы чем он отличается от Email-Worm.Win32. Brontok.a или Email-Worm.Win32. Brontok.q |
Email-Worm.Win32.Brontok.q также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Если вы были бы более внимательны, а не создавали несколько ников подряд, то обнаружили отдельную статью ему посвёщнную в обзорах вредоносного софта: http://www.securitylab.ru/virus/262258.php
| Цитата |
|---|
| Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. |
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
При этом червем игнорируются адреса, содержащие следующие подстроки:
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке: