Troyan proksi server kimi xidmət göstərir

Bu əməliyatları icra edə bilir:

portu açmaq

İdarə olunan komputerə xüsusi port vasitəsi ilə qoşulmaq

TCP protokolundan istifadə etmək

 Troyan özünün heç bir kopyasını yaratmır.

Troyan məlumatları və əmrləri idarə olunan komputerdən və ya internetdən toplayır. Troyan 6 URL listdən ibarətdir. HTTP, UDP protocolları komunikasiyada istifadə olunur. Troyan simulasiya olunmuş (fırıldaq yolla quraşdırılan) banner reklamlarını HTTP sorğu göndərməklə şəbəkə sayğac məlumatlarını və sairələri həddindən artıq yükləyir.

Troyan müxtəlif məlumatları aşağıdakı fayllarda saxlayır.

%appdata%\u00BD\u009E\u0092\u0093\u00D3\u0099\u009C\u0089

%commonappdata%\@system3.att

%commonappdata%\@000001.dat

Troyan bu məlumatları toplayır:

Ölkə kodu

Əməliyat sisteminin versiyası

Troyan toplanmış məlumatları idarə olunan komputerə göndərir. UDP protokolu istifadə olunur.

Troyan bu məlumatları toplayır:

İstifadəçi adı

Komputerin İP adresi

Ekrandan çəkilən şəkillər

Troyan şifrələri daxil etmə bacarığındadır.

Toplanmış məlumatlar bu faylda saxlanılır.

%appdata%\87

İcra olunduğu zaman, Troyan özünü aşağıdakı sahəyə köçürür.

%startup%\Sirewa__.cpl

Bu Troyanın hər system başlayanda aktivləşməsinə (icra olunmasına) səbəb olur.

Troyan özünü aşağıdakı yerə köçürür.

%appdata%\Sirewa__.cpl

%systemdrive%\WINDOWS\system32\Sirewa__.cpl

Troyan aşağıdakı proseslərin daxilində öz proqram kodu olan yeni proqram(idarə oluna bilən)

yaradır və onu işlədir(aktivləşdirir)

firefox.exe

iexplore.exe

chrome.exe

opera.exe

navigator.exe

safari.exe

maxthon.exe

Bu fayllar aşağıdakı kimi dəyişdirilir.

%startup%\Mozilla Firefox.lnk

%startup%\Internet Explorer.lnk

%startup%\Google Chrome.lnk

 Troyan aşağıdakı məlumatları toplayır(mənimsəyir):

Əməliyat sisteminin versiyası

Əməliyyat sisteminin məlumatları və sistemin parametrləri

Aşağıdakı qeydiyat altında yüklənmiş proqram komponentləri

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

Qeydiyatın alt(əlavə) açarları

İstifadədə olan yaddaşın həcmi (RAM həcmi)

CPU(prosessor) məlumatları

Reklam xarakterli əlavə məlumatlar (COOKİES)

açılmış və ya açıq port nömrəsi

Xüsusi qovluqlara qoşulma yolu

Əlavə məlumatlar

Troyan əldə olunmuş məlumatları toplayaraq idarə olunduğu komputerə göndərir.

Troyan URL adresdən ibarətdir. HTTP protokolu istifadə edir.

 İcra olunanda (aktivləşdiriləndə), troyan özünü aşağıdakı yerə(seksiyaya) köçürür.

%programfiles%\FastWeb\fastweb.exe 

Troyan aşağıdakı faylı yaradır:

%programfiles%\FastWeb\config_ns1.dat (12 B)

Əməliyyat sistemi hər başladığı anda troyan aktivləşərək sistemin Registry(qeydiyat) girişini belə

dəyişir.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 

"fastweb" = "%programfiles%\FastWeb\fastweb.exe"

Troyan məlumatları və əmrləri əlaqəli komputerdən və ya internetdən əldə edir. Troyan 6 URL(Uniform Resource Locator, Uniforma resurlarının identifikatoru) siyahısından ibarətdir. Troyan proksi server kimi xidmət göstərir. Troyan internet bağlantısını yoxlamaq üçün bu adreslərə qoşulur(bağlanır):

duckduckgo.com

 Trojan:Win32/Dynamer! troyanı digər zərərvericilərin tərkibində və ya saxta proqram təminatlarının yenilənmələrilə yoluxur.

  Trojan:Win32/Dynamer! necə aradan qaldırmalı?
Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.

Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

Addım 1: Antivirus proqramı ilə skana başlayın

1-ci etməli olduğunuz şey Trojan:Win32/Dynamer! -un yüklənməyə başlamasının qarşısını almaq üçün kompyuteri təhlükəsiz rejimdə şəbəkə drayverlərinin yüklənməsi ilə yenidən başlatmaqdır.

 Trojan-PSW.Win32.Dybalom.L zərərvericisi icra olunduqdan sonra Windovsun Temp qovluğuna troyan faylları olan paketi yükləyir.

  Yayılması üçün aşağıdakı əməliyyatları aparır:
[<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\ {926A036A-158B-047A-E269-D148B0369C14}]

 Trojan-PSW.Win32.Dybalom.L troyanını necə silmək olar ?

Antivirus proqramını işə salırıq və kompüterə qoşulu olan yaddaş daşıyıcıları ondan ayırırıq. F8 düyməsi vasitəsilə təhlükəsiz rejimə qoşulub antivirus yoxlamasını həyata keçiririk.

 W64.Viknok.B!inf kompüterə düşən kimi (C&C) serverə qoşulur və zərərverici troyanı yükləyir.

  W64.Viknok.B!inf (kompyuter virusunun zərərli fəaliyyət göstərən komponenti)
Görəcəyiniz W64.Viknok.B!inf reklam proqramı əlamətləri aşağıdakılardır:
1. İstifadəçi kompyuterinə potensial (mövcud) arzuolunmaz proqramların yüklənməsi.
2. Təsadüfi veb səhifələrə keçidlər brauzerinizdə mətn hiperlinklərində təqdim olunur.

  Backdoor.Generic11.ZNE - yoluxmuş kompüterə məsafəli giriş etmək üçün xakerə imkan yaradan çox zərərli troyandır. İlkin qoşulma zamanı funksiya olaraq istifadəçiyə məxsus şəxsi məlumatların və yoluxmuş kompüterin fayllarının ələ keçirilməsi reallaşdırılır.

 Backdoor.Generic11.ZNE-ni necə aradan qaldırmalı?
Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

Antivirus proqramı ilə skana başlayın
1-ci etməli olduğunuz şey Backdoor.Generic11.ZNE-in yüklənməyə başlamasının qarşısını almaq üçün kompyuteri təhlükəsiz rejimdə şəbəkə drayverlərinin yüklənməsi ilə yenidən başlatmaqdır.

 Adobe Acrobat Reader -in boşluqlarından istifadə edərək PDF sənəd istifadə edərkən zərərverici faylı işə salır və lazım gəldikdə əlavə proqram təminatlarını yükləyir.

HTML/Malicious.PDF.Gen “Yükləmək üçün ödə” paylayıcı şəbəkəsində
bir qayda olaraq digər potensial faydalı proqram təminatı ilə birlikdə paketlənmiş zərərli bir proqramdır.

  HTML/Malicious.PDF.Gen-ni necə aradan qaldırmalı?
Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmşilərə əlavə edəsiniz.
Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

 Pandex!inf zərərvericisi əməliyyat sistemini yoluxduran troyan virusdur. Təhlükə altında qoyulan kompüterin Master Boot Record (MBR) hədəfə alır.

Pandex!inf aradan qaldırılması təlimatı:
Pandex!inf  sizə faydalı xidmət təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

 Trojan.Newarxy troyan zərərvericisi xakerə imkan verir ki, yoluxmuş kompüteri proksi-server kimi istifadə eləsin. Bu zərərverici internetdə digər troyan proqram paketlərinin tərkibində yayıla bilər. 

 <SYSTEM32>\temp.000
%TEMP%\~GLH000a.TMP
%PROGRAM_FILES%\Creative\Sharedll\~GLH0006.TMP
<SYSTEM32>\~GLH0008.TMP
%TEMP%\~GLH000d.TMP
<Hal hazırki direktoriya>\~GLH000e.TMP
%TEMP%\~GLH000b.TMP
%TEMP%\~GLH000c.TMP
%TEMP%\~GLH0000.TMP
%TEMP%\~GLH0001.TMP
%TEMP%\GLC1.tmp
%TEMP%\GLK2.tmp
%PROGRAM_FILES%\Creative\Sharedll\temp.000
%PROGRAM_FILES%\Creative\Sharedll\~GLH0005.TMP
%TEMP%\~GLH0002.TMP
%PROGRAM_FILES%\Creative\Sharedll\~GLH0003.TMP

 Belə ki, yayılması üçün sisteminizdə aşağıdakı servisi yaradır:
[<HKLM>\SYSTEM\ControlSet001\Services\PfModNT] 'Start' = '00000002'

 Bu virusun özəlliyi ondan ibarətdir ki, təhlükəli JavaScript faylından istifadə edərək özünü antivirus proqram təminatlarından qoruyur. Bu JavaScript troyanı istənilən saytda ola bilər və yeganə məqsədi həmin saytın ziyarətçisinin kompyuterində olan məlumatları C&C göndərməkdir.

  Yayılmasını təmin etmək üçün reestrdə aşağıdakı dəyişikləri edir:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DrvStart' = '%WINDIR%\Media\HPMedia.exe'
Şəbəkə aktivliyi:
'74.##5.232.51':25
'up#####10.tripod.com':80
'www.po##ni.ro':80
TCP:
 HTTP GET:
up#####10.tripod.com/CurrVer.txt

 Gen:Adware.Heur kompyuterə başqa bir təhlükədən yüklənə bilən zərərli kod üçün evristik aşkarlanmadır. Bu brauzer-oğru, qəfil açılan reklam, alətlər paneli yaxud arzuolunmaz əlavə brauzer və genişlənmə formasında ola bilər. Adətən Gen:Adware.Heur virus kimi zərərli deyil lakin kompyuterə yüklənən zaman bezdirici ola bilər.

 Gen:Adware.Heuru necə aradan qaldırmalı?
Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

Addım 1: Antivirus proqramı ilə skana başlayın
1-ci etməli olduğunuz şey Gen:Adware.Heur-un yüklənməyə başlamasının qarşısını almaq üçün kompyuteri təhlükəsiz rejimdə şəbəkə drayverlərinin yüklənməsi ilə yenidən başlatmaqdır.

 TrojanNewarxy silinmiş təcavüzkara - yoluxmuş sistemi proksi-server (bradmauer aləti -lokal şəbəkəni internet vasitəsilə skan olunmamış keçiddən qoruyan) kimi istifadə etməyə icazə verən Troyadır. Bu təhlükə internetdə başqa bir zərərli proqram və ya virus vasitəsilə yayıla bilər. Trojan.Newarxy həm riskli fayl mübadiləsi şəbəkələrindən, həmçinin eynisəviyyəli şəbəkə kimi tanınan əlaqədən qazanıla bilər.

 TrojanNewarxy-ni necə aradan qaldırmalı?
Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

 Exploit:Java/Obfuscator.P potesial arzuolunmaz bir proqramdır. Bu, kompyuterə yükləmə idarəedicisi və kənar istifadəçilərin proqram təminatı vasitəsilə yüklənə bilər. Adətən Exploit:Java/Obfuscator.P kimi proqramlar kompyuterə istifadəçilərin razılığı olmadan yüklənməyə başlayır.

 Exploit:Java/Obfuscator.P-ni necə aradan qaldırmalı?
Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

  TROJ_CRYPTFILE.SM potesial arzuolunmaz bir proqramdır. Bu, adətən kompyuterə yükləmə idarəedicisi və kənar istifadəçilərin proqram təminatı vasitəsilə yüklənir. Adətən TROJ_CRYPTFILE.SM kimi proqramlar kompyuterə istifadəçilərin razılığı olmadan yüklənir. Zərərli proqram istehsalçıları onu daha sürətlə yerləşdirmək üçün “Yükləmək üçün ödə” sxemindən istifadə edir. Metod yalnız TROJ_CRYPTFILE.SM-i yükləmir həmçinin alətlər paneli və ana səhifə oğrusu kimi zərərli proqramları yaya bilər.

 TROJ_CRYPTFILE.SM RansomWare-ni necə aradan qaldırmalı?
Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmşilərə əlavə edəsiniz.
Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

 Bu təlimatla sizin kompyuterinizdən Trojan:Win32/Autoac-ı
aradan qaldırmaq üçün konkret addımlar tamamlanmalıdır. Zəhmət olmasa zərərli proqramın təhlükəsiz skan olunması aləti ilə başlayın, sonra bu proqramdan həmişəlik qurtulmaq üçün təlimatı bitirin.

 (kompyuter virusunun zərərli fəaliyyət göstərən komponenti)
Görəcəyiniz Trojan:Win32/Autoac reklam proqramı əlamətləri aşağıdakılardır:
1. İstifadəçi kompyuterinə potensial (mövcud) arzuolunmaz proqramların yüklənməsi.
2. Təsadüfi veb səhifələrə keçidlər brauzerinizdə mətn hiperlinklərində təqdim olunur.
3. Qəfil görünən reklam,saxta yeniləmələr və başqa arzuolunmaz proqram təminatı yeniləmələri.

 Trojan:Win32/Autoac sizə faydalı xidmət təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

DOS/Alureon.J Bu təlimatla sizin kompyuterinizdən. DOS/Alureon.J,- i aradan qaldırmaq üçün konkret addımlar tamamlanmalıdır. Zəhmət olmasa zərərli proqramın təhlükəsiz skan olunması aləti ilə başlayın, sonra bu proqramdan həmişəlik qurtulmaq üçün təlimatı bitirin(tamamlayın). DOS/Alureon.J istifadəçiyə yararsız və yanlış məlumat təqdim edən potensial arzuolunmaz bir proqramdır.  

 DOS / Alureon.J aradan qaldırılması təlimatı:
DOS/Alureon.J sizə faydalı xidmət təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

Bu təlimatla sizin kompyuterinizdən TROJAN : WIN32 / DYNAMERLAC-ı aradan qaldırmaq üçün konkret addımlar tamamlanmalıdır. Zəhmət olmasa zərərli proqramın təhlükəsiz skan olunması aləti ilə başlayın, sonra bu proqramdan həmişəlik qurtulmaq üçün təlimatı bitirin. 

 TROJAN : WIN32 / DYNAMERLAC “Yükləmək üçün ödə” paylayıcı şəbəkəsində
bir qayda olaraq digər potensial faydalı proqram təminatı ilə birlikdə paketlənmiş zərərli bir proqramdır.

 TROJAN : WIN32 / DYNAMERLAC sizə faydalı xidmətlər təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

 64 bitli Windows əməliyyat sistemini yoluxduran troyan virusdur. Boot.Tidserv təhlükə altında qoyulan kompüterin Master Boot Record (MBR) hədəfə alır.

 Yayılması üçün aşağıdakı əməliyyatları aparır:

• [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\ {926A036A-158B-047A-E269-D148B0369C14}]

İstifadəyə buraxır:

• <SYSTEM32>\cmd.exe /c <SYSTEM32>\Deleteme.bat

Şəbəkə aktivliyi:

• 'ge##.2288.org':18077
• 'localhost':8000

UDP:

• DNS ASK ge##.2288.org

 Kompyuterdə olan proqramların parollarına cavabdeh olan faylları axtarır və onları silir.

 Reestr-da növbəti açarları dəyişir:

• [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DisplaySwitch' = '"%ALLUSERSPROFILE%\Application Data\SystemRoot.exe"'

Fayl sistemində növbəti faylları redaktə edir:\

• %ALLUSERSPROFILE%\Application Data\1.jpg
  
• %ALLUSERSPROFILE%\Application Data\SystemRoot.exe
  
• %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\img[1].jpg

Şəbəkə aktivliyi:

• '19#.#8.173.217':80
• '18#.#90.126.117':80
• '74.##5.232.51':80
• 'localhost':1038

 Təhlükəli troyandır, hansı ki, USB yaddaşlarda və şəbəkə disklərində nüsxəsini yaratmaq ilə yayılır.

 Yayılması üçün sistemdə növbəti faylları dəyişir:

• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /f'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /Y'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /U'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /o'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /j'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /t'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /c'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /z'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /a'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /d'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /H'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /Q'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /B'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /v'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /E'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /I'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /s'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /w'
• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /k

Şəbəkə aktivliyi:

• 'ns#.##ayer1352.com':8000
• UDP:
• DNS ASK ns#.##ayer1352.com

 Troyan-virusudur ki, yoluxdurulan kompüterə başqa zərərli proqramların yüklənməsini və quraşdırmağını təmin edir.

 Zərərverici kodlarını sistemə daxil edir:

• <SYSTEM32>\cmd.exe
• <SYSTEM32>\winlogon.exe
• %WINDIR%\Explorer.EXE

Növbəti sistem fayllarını yaradır:

• %WINDIR%\$NtUninstallKB27979$\4121336045\@
• %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
• %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini

Şəbəkə aktivliyi:

• 'localhost':80
• 'j.###mind.com':80
• TCP:
•  HTTP GET: Sorğuları
• le#####eecounters.com/5699002-2F6F334BF9ACF1B2401D3874A5B0C048/counter.img?th################################
• le#####eecounters.com/5699002-2F6F334BF9ACF1B2401D3874A5B0C048/counter.img?th###############################
• j.###mind.com/app/geoip.js

 Sosial şəbəkələrdə həyəcan təbili çalan bu virus yüksək təhlükəlilik səviyyəsinə qadirdir.

 Yayılması üçün növbəti reestr dəyişikliyi edir:

• [<HKLM>\SOFTWARE\Classes\iexploreFile\shell\open\command] '' = ''

Fayl sistemində etdiyi dəyişikliklərlə bu yeni faylları yaradır:

• %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\t[1].txt
• %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\type[1].txt
• %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\520921[1]
• <Текущая директория>\Killme.vbs
• %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\type[1].txt
• %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\dom1[1].txt
• %APPDATA%\Microsoft\Internet Explorer\Quick Launch\launch internet explorer browser.iexplore
• %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\dom1[1].txt

 Kompyuterinizə düşdükdən sonra sistemdə olan hosts faylını dəyişərək özünə məxsus veb ünvanları ora daxil edir.

 Zərərverici funksiyaları:

• <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\tochno_lukavish\oi_lukavish\still_loving_youuuu.vbs"
• <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\tochno_lukavish\oi_lukavish\prisel_na_travu.vbs"
• <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\tochno_lukavish\oi_lukavish\shipilovSan.bat"

Əsas olaraq fayl sistemində etdiyi dəyişikliklər:

• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\still_loving_youuuu.vbs
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\poshel_von_ves_moi_samoobman.fff
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\prisel_na_travu.vbs
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\Uninstall.ini
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\Uninstall.exe
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\memouries.hid
  
• %TEMP%\$inst\temp_0.tmp
  
• %TEMP%\$inst\2.tmp
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\grouppovuhak.ico
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\shipilovSan.bat
  
• %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\spolna_nam.nav

Şəbəkə aktivliyi:

• '64.##.191.222':4321
• 'localhost':1035

 Trojan.MulDrop4.32143 troyanı sistem fayllarınıza dəyişiklik etməknən tam olaraq sisteminizi böyük təhlükə qarşısında qoya bilər.

 Belə ki, yayılması üçün sisteminizdə aşağıdakı servisi yaradır:

• [<HKLM>\SYSTEM\ControlSet001\Services\PfModNT] 'Start' = '00000002'

Zərərverici funksiyaları:

• %TEMP%\EndLch.exe
• %TEMP%\checkos.EXE

İşə salır:

• <SYSTEM32>\regsvr32.exe /s/u "%PROGRAM_FILES%\Creative\Sharedll\Pfmod.dll"
• <SYSTEM32>\regsvr32.exe /s "%PROGRAM_FILES%\Creative\Sharedll\Pfmod.dll"

Sistem faylında növbəti dəyişiklikləri edir:

• <SYSTEM32>\temp.000
• %TEMP%\~GLH000a.TMP
• %PROGRAM_FILES%\Creative\Sharedll\~GLH0006.TMP
• <SYSTEM32>\~GLH0008.TMP
• %TEMP%\~GLH000d.TMP
• <Hal hazırki direktoriya>\~GLH000e.TMP
• %TEMP%\~GLH000b.TMP
• %TEMP%\~GLH000c.TMP
• %TEMP%\~GLH0000.TMP
• %TEMP%\~GLH0001.TMP
• %TEMP%\GLC1.tmp
• %TEMP%\GLK2.tmp
• %PROGRAM_FILES%\Creative\Sharedll\temp.000
• %PROGRAM_FILES%\Creative\Sharedll\~GLH0005.TMP
• %TEMP%\~GLH0002.TMP
• %PROGRAM_FILES%\Creative\Sharedll\~GLH0003.TMP

 Sosial şəbəkələrdə reklam bannerlərində yerləşdirilən bir troyandır.

 Yayılmasını təmin etmək üçün reestrdə aşağıdakı dəyişikləri edir:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DrvStart' = '%WINDIR%\Media\HPMedia.exe'

Şəbəkə aktivliyi:

• '74.##5.232.51':25
  
• 'up#####10.tripod.com':80
  
• 'www.po##ni.ro':80
  
• TCP:
  

• Запросы HTTP GET:
  
• up#####10.tripod.com/CurrVer.txt
  
• www.po##ni.ro/images/thumbs0/server/ok.php?id##
  
• UDP:

• DNS ASK al##.####l-smtp-in.l.google.com
  
• DNS ASK up#####10.tripod.com
  
• DNS ASK www.po##ni.ro

 Kompyuterinizə düşdükdən sonra cookie - də olan şifrələrinizi oğurlayır.

 Yayılması və işə salınması üçün reestrin aşağıdakı açarlarını dəyişir.

• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
• Catalog_Entries\000000000002]
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
• Catalog_Entries\000000000003][<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\
• Catalog_Entries\000000000001]
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\
• Catalog_Entries\000000000003]
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
• \Catalog_Entries\000000000009]
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
• Catalog_Entries\000000000010] 
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
• Catalog_Entries\000000000011] 
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
• Catalog_Entries\000000000006]
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
• Catalog_Entries\000000000007]
• [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
• Catalog_Entries\000000000008]

Sistem proseslərinə növbəti kodu daxil edir.

• <SYSTEM32>\cmd.exe
• <SYSTEM32>\services.exe
• %WINDIR%\Explorer.EXE

 Windows yeniləməsinə məxsus olan prosesləri dayandıraraq kompüterin təhlükəsizlik quraşdırmalarını yoluxdurur.

 Zərərverici funksiyaları aşağıdakı parametrlərə uyğun işə salınır.

• <SYSTEM32>\ping.exe 1.0.0.1 -n
• <SYSTEM32>\wbem\wmiadap.exe /R /T
• <SYSTEM32>\svchost.exe
• <SYSTEM32>\cmd.exe /c ""%TEMP%\9407.bat" "

Zərərverici kodu növbəti sistem proseslərinə yazır.

• <SYSTEM32>\csrss.exe
  
• <SYSTEM32>\svchost.exe

Fayl sistemində dəyişiklik edir və növbəti faylları yaradır :

• <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
• %TEMP%\9407.bat

Şəbəkə aktivliyi

• 'af####.jjwwbos.com':12145
• UDP:
• DNS ASK it###.biy5566bt.com
• DNS ASK st###.jjwwbos.com
• DNS ASK af####.jjwwbos.com

•  Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

• Reestr-da kütləvi şəkildə ierarxik ardıcıllığın pozulmasıma gətirib çıxarır.

Zərərverici funksiyaları

Reestr-da kənar proqramların parollarına cavabdeh olan faylları axtarır

• [<HKCU>\Software\BPFTP\Bullet Proof FTP\Options]
• [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Options]
• [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Main]
• [<HKLM>\Software\FlashFXP\3]
• [<HKCU>\Software\BPFTP\Bullet Proof FTP\Main]
• [<HKCU>\Software\BPFTP]
• [<HKCU>\Software\South River Technologies\WebDrive\Connections]
• [<HKCU>\Software\FTP Explorer\Profiles]
• [<HKCU>\Software\FTPWare\COREFTP\Sites]
• [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
• [<HKCU>\Software\Sota\FFFTP\Options]
• [<HKLM>\Software\FlashFXP]
• [<HKCU>\Software\Far\SavedDialogHistory\FTPHost]
• [<HKCU>\Software\Far2\SavedDialogHistory\FTPHost]
• [<HKCU>\SOFTWARE\Far2\Plugins\FTP\Hosts]
• [<HKCU>\SOFTWARE\Microsoft\MessengerService]
• [<HKCU>\SOFTWARE\Far\Plugins\FTP\Hosts]
• [<HKCU>\Software\Ghisler\Windows Commander]
• [<HKCU>\Software\FlashFXP]
• [<HKCU>\Software\FlashFXP\3]
• [<HKLM>\Software\Ghisler\Total Commander]
• [<HKCU>\Software\Ghisler\Total Commander]
• [<HKLM>\Software\Ghisler\Windows Commander]

Sistem fayl sistemində etdiyi dəyəşikliklər

Aşağıdakı faylları yaradır

• <DRIVERS>\npf.sys
• <SYSTEM32>\wpcap.dll
• <SYSTEM32>\Packet.dll

Şəbəkə aktivliyi:

• '18#.#25.139.156':80
• 'localhost':1072
• '95.#8.8.28':80
• 'localhost':1075
• '18#.#60.25.55':80
• 'localhost':1066
• '95.##.221.91':80
• 'localhost':1069
• '91.##8.41.235':80
• 'localhost':1078
• '17#.#33.32.3':80
• 'localhost':1087
• '86.##1.96.18':80
• 'localhost':1090
• '81.##8.101.33':80
• 'localhost':1081
• '80.##.242.103':80
• 'localhost':1084
• '17#.#68.41.15':80
• 'localhost':1045
• '89.##9.85.103':80
• 'localhost':1048
• '15#.#24.28.14':80
• 'localhost':1042
• '87.##6.64.45':80
• 'localhost':1036
• '78.##.212.27':80
• 'localhost':1039
• '79.##5.193.77':80
• 'localhost':1060
• '86.##2.237.138':80
• 'localhost':1063
• '37.#30.43.3':80
• 'localhost':1057
• '15#.#24.24.213':80
• 'localhost':1051
• '89.##6.127.44':80
• 'localhost':1054
•  

Trojan.GBPBoot.1 icra olunan və <SYSTEM32>\notepad.exe sistem faylına yoluxan virusdur.

O məsafəli serverlərdən yüklənə bilir və yoluxmuş kompyuterdə müxtəlif faylları və ya proqramları işə sala bilir.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

W32.Zeeker icra olunan .exe və .scr faylları yoluxduran virusdur.

W32/Zeeker.a - kimi digər antiviruslarla tatınır.

W32/Zeeker.a icra olunandan sonra kənar serverə digər virus proqramlarını yükləmək üçün qoşulur.

1. Sistem bərpasını müvəqqəti söndürün.
2. Antivirusun bazalarını yeniləyin.
3. Kompüteri SafeMode rejiminə keçirin.
4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
5. USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
6. Email vasitəsi ilə qələn şübhəli .vbs, .bat, .exe, .pif və .scr faylları açmaqdan çəkinin.
7. Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
8. Komputeri restart edin.

"Windows sizin təhlükəsizliyinizə ciddi təhdidləri aşkar etmişdir" (Windows has detected serious threats to your security) Mərkəzi İdarə etmək üçün mənsub olan pisniyyətli veb-sayta səfər etmiş kompüterlərdə sıçrayan yalan həyəcandır.

Bu saxta xəbərdarlıq cəld kimi fırıldaqçı proqramının qeyd olunmamış versiyasını yükləmək üçün və quraşdırmaq üçün istifadəçilər üçün istifadə edilir . O  təkid edəcək ki, kompüter yoluxdurulub və məsləhət görülən alət ilə nə qədər mümkündürsə tez bütün təhdidləri uzaqlaşdırmağı istifadəçilərə xəbər verir .

Windows has detected serious threats to your security
During the scan Windows Security has detected 159 threats to the security of your PC. You must remove them immediately in order to prevent your private data from loss and damage.
Win32/Netsky.Q worm (18)
SoapHoax Spyware (23)
Win32/Bagle.HE worm (158)

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• Windows Firewall-ı aktivləşdirin.
• Kənar və etibarsız veb səhifələrin səfərindən keçinin.

W32.Pilleuz!gen10 evrestik metodla üzə çıxarılan soxulcan virusdur.

W32/Autorun.worm!a758e0e7, W32/Rimecud, W32/Autorun-AUP, ButterflyBot.A - kimi digər antiviruslarla tatınır.

USB yaddaşlarında, birgə istəfadə edilən fayillar sistemində  surətini yaratmaq ilə və spam məktublar vasitəsi ilə yayılır.

W32.Pilleuz!gen10 həmçinin tam girişi əldə etmək üçün uzaq hücum edənə imkan verən təhlükə altında qoyulan kompüterdə backdoor portu açır.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
• Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
• Komputeri restart edin.

Backdoor.Tidserv.L pisniyyətli troyan-virusdur ki, backdoor portu vasitəsilə kompüterdə səlahiyyəti olmayan girişi əldə etmək üçün uzaq hücum edənə imkan verir.

Backdoor.Tidserv.L həmçinin həssas informasiyanı ötürə bilər və tam sistem işini pisləşdirə bilən ayrı funksiya üçün kompüterdə əlavə faylları yükləyir.

Email və ya USB daşıcıları vasitəsi ilə yayilır.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
• Email vasitəsi ilə qələn şübhəli .vbs, .bat, .exe, .pif və .scr faylları açmaqdan çəkinin.
• Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
• Komputeri restart edin.

Boot.Tidserv - Tidserv-in variantıdır, 64 bitli Windows əməliyyat sistemini yoluxduran troyan virusdur. Boot.Tidserv təhlükə altında qoyulan kompüterin Master Boot Record (MBR) hədəfə alır.

MBR sistem qəzasə ilə nəticələnən yoluxdurulan versiya ilə əvəz ediləcək.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
• Email vasitəsi ilə qələn şübhəli .vbs, .bat, .exe, .pif və .scr faylları açmaqdan çəkinin.
• Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
• Komputeri restart edin.

İstifadəçinin kompüterində dağıdıcı hərəkəti yerinə yetirən troyan proqramdır. Windows PE (PE EXE) faylıdır. C++ proqramlaşdırma dilində yazilıb və 81408 bayt ölçüyə malikdir.

 İcra olunandan sonra troyan proqram istifadəçinin müvəqqəti saxlama kataloquna bədənindən aşağıda göstərilən faylı çıxarır:

%Temp%\<rnd1>.tmp

burda <rnd1> sayların və əlifba hərflərin təsadüfü yığımıdır.

20992 bayt ölcüsünə malik olan Kaspersky antivirusla "Trojan.Win32.Agent.dmyq" troyan proqramdır.

Sonra isə troyan çixardığı faylı Windows-un sistem kataloquna "nynw.wmo" adla köçürür.

%System%\nynw.wmo

Növbəti sistem startından sonra avtomatik icra olunmaq üçün qeyd şöbəsinə aşağıda göstərilən açarı əlavə edir:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell" = "Explorer.exe rundll32.exe nynw.wmo mynleeq"

Sistemdə öz prosesinin unikallığının nəzarəti üçün troyan aşağıda göstərilən unikal proses identifikator adını yaradır:

226299093086e28052

Sonra isə troyan "svchost.exe" adlı proses yaradır və ora öz kodunu yeridir.

Troyan aşağıda göstərilən sorgunu göndərir:

http://baksomania2010.ru/kuzy/bb.php?v=200&id=<rnd2>&b=4mart&tm=4

burda <rnd2> sayların və əlifba hərflərin təsadüfü yığımıdır.

Cavabda isə o zərərli ünvanlar siyağısını alır.

Məsələn:

[info]runurl:http://www.comptoirdelhomme.com/obc/include/fid.exe|taskid:25|delay:45|
upd:0|backurls:http://bmw760power.ru/kuzy/bb.php;http://fx.fx.bmw760power.ru/kuzy/bb.php;[/info]

Sonra isə həmin aldığı ünvanlardan istifadəçinin müvəqqəti saxlama kataloquna digər zərərli proqramları aşağıda göstərilən adla yükləyir.

%Temp%<rnd3>.tmp

burda <rnd3> sayların və əlifba hərflərin təsadüfü yığımıdır. Müvəffəqiyyətli yükləmədən sonra həmin fayllar icra olunur.

Əyər istifadəçinin kompüterində "Microsoft Office" proqram paketi yüklənibsə, o zaman təhlükəsizlik həddinin aşağı salması üçün qeyd şöbəsinə aşağıda göstərilən açarı əlavə edir:

[HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" = "1" "AccessVBOM" = "1"

Həmçinin qeyd şöbəsinə aşağıda göstərilən açarları da əlavə edir:

[HKCR\idid]

"url1"="68,74,74,70,3a,2f,2f,62,6d,77,37,36,30,70,6f,77,65,72,2e,72,75,2f,6b,75,7a
,79,2f,62,62,2e,70,68,70,00,00,14,e6,07,00,f5,53,91,7c,ec,e5,07,00,10,c2,97,7c,1
0,e6,07,00,08,e6,07,00,78,e6,07,00,44,e7,07,00,00,00,00,00,18,00,00,00,03,00,00
,00,ac,e8,07,00,01,00,00,00,03,00,00,00,02,00,00,00,01,00,00,00,00,00,00,00,00,
00,00,00,2c,03,00,00,d8,e6,07,00,f1,5a,91,7c,03,00,00,01,00,00,00,00,a0,10"

"url2"="68,74,74,70,3a,2f,2f,66,78,2e,66,78,2e,62,6d,77,37,36,30,70,6f,77,65,72,2
e,72,75,2f,6b,75,7a,79,2f,62,62,2e,70,68,70,00,00,00,00,00,00,00,00,00,00,00
,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
,00,00,00,00,00,00,00,bc,e6,07,00,9c,e6,07,00,00,00,00,00,78,e7,07,00,cc,e6
,07,00,ac,e6,07,00,a4,67,91,7c,04,e7,07,00,00,00,00,00,18,00,1a,00,1c,e8,07
,00,74,c1,97"

"url3"="00,00,00,00,00,dc,e6,07,00,00,00,02,00,d0,e6,07,00,d0,e6,07,00,d0,e6,07,
00,02,00,00,00,02,00,00,00,10,33,3c,77,08,00,0a,00,00,00,00,00,35,0f,00,00,
40,e8,07,00,78,e7,07,00,40,e8,07,00,00,5a,91,7c,2c,e7,07,00,00,00,00,00,1c,
e9,07,00,65,5a,91,7c,5c,e9,07,00,74,c1,97,7c,00,00,00,00,00,00,00,00,6c,e9,
07,00,80,e8,07,00,00,00,00,00,e0,e8,07,00,00,00,00,00,00,00,00,00,b8,2e,0a,
00,84,e7,07,00"

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən əməlləri icra edin:

• Troyanın orijinal faylını silin.
• %System%\nynw.wmo və %Temp%\<rnd>.tmp faylları silin. Burda <rnd> sayların və əlifba hərflərin təsadüfü yığımıdır.
• İstifadəçinin müvəqqəti saxlama kataloqunu (Temporary Internet Files - %Temporary Internet Files%) təmizləyin.
• Qeyd şöbəsindən [HKCR\idid] açarı silin.
• Qeyd şöbəsində təhlükəsizlik həddinin yerinə qaytarılması üçün aşağıda göstərilən açarda dəyişiklər edin:
  
  [HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" "AccessVBOM"
  
• Aşağıda göstərilən geyd şöbəsinin açarını bərpa edin:
  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe"

USB yaddaşlarında surətini yaratmaq ilə yayılan 51 bayt ölçüyə malik olan troyan proqramıdır. 

USB yaddaşlarında surətini yaratmaq ilə yayılır.

USB yaddaşlarında və lokal disklərdə "Autorun.inf" adlanan faylı yaraddır və digər zərərli proqramları köçürür. Yoluxdurulmuş diskləri açarkən avtomatik olaraq troyanın daxilindı olan zərərli skript icra olunur. Həmin skript yoluxdurulmuş diskdə olan başqa zərərli proqramı işə salır.

Məsələn:

F:\s1.exe

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən faylları silin:

Məsələn:

F:\autorun.inf

F:\s1.exe

İstifadəçinin kompüterində dağıdıcı hərəkəti yerinə yetirən troyan proqramdır. Windows DLL  (PE DLL-file) faylıdır. C++ proqramlaşdırma dilində yazilıb və 61440 bayt ölçüyə malikdir.

Troyan proqram "killall" funksiyasını eksport edir və aşagıda göstərilən icraları yerinə yetirir:

• troyan proqramının bədənindən çıxartdı fayllar növbəti adların altında sistemdə saxlanır:
  
  %System%\drivers\AsyncMac.sys - 2304 bayt ölcüsünə malik olan Kaspersky antivirusla "Rootkit.Win32.Tiny.dg" troyan proqramdır.
  
  %System%\drivers\aec.SYS - 3072 bayt ölcüsünə malik olan Kaspersky antivirusla "Rootkit.Win32.Tiny.bx" troyan proqramdır.
   
• Sistemdə "AsyncMac" və "aec" adlı xidmətlər yaradılır və icra olunurlar.
   
• Aşağıda göstərilən parametrlərlə "cmd.exe" sistem komandalar interpretatoru icra olunur:
  • /c sc config ekrn start= disabled
  • /c sc config avp start= disabled
  • /c sc config McNASvc start= disabled
  • /c sc config MpfService start= disabled
  • /c sc config McProxy start= disabled
  • /c sc config McShield start= disabled
  • /c sc config mcmscsvc start= disabled
  • /c sc config Mcshield start= disabled
  • /c sc config XCOMM start= disabled
  • /c sc config LIVESRV start= disabled
  • /c sc config scan start= disabled
  • /c sc config VSSERV start= disabled
  • /c sc config RavTask start= disable
  • /c sc config RsScanSrv start= disabed
  • /c sc config RavTray start= disabled
  • /c sc config RsRavMon start= disabled
  • /c sc config RavCCenter start= disabled
  • /c taskkill /im ekrn.exe /f
  • /c taskkill /im avp.exe /f
    
  Beləliklə aşağıda göstərilən xidmətlərin avtomatik olaraq icrası dayandırılır:
  • ekrn
  • avp
  • McNASvc
  • MpfService
  • McProxy
  • McShield
  • mcmscsvc
  • Mcshield
  • XCOMM
  • LIVESRV
  • scan
  • VSSERV
  • RavTask
  • RsScanSrv
  • RavTray
  • RsRavMon
  • RavCCenter
  Həmçinin ekrn.exe və avp.exe prosesləri dayandırılır.
• Sistem yaddaşından aşağıda göstərilən prosesləri çıxarır:
  • CCenter.exe
  • MPSVC3.EXE
  • safeboxTray.exe
  • 360Safebox.exe
  • 360tray.exe
  • antiarp.exe
  • ekrn.exe
  • RsAgent.exe
  • egui.exe
  • RavMon.exe
  • RavMonD.exe
  • RavTask.exe
  • RavStub.exe
  • RsTray.exe
  • ScanFrm.exe
  • Rav.exe
  • AgentSvr.exe
  • QQDoctor.exe
  • McProxy.exe
  • McNASvc.exe
  • Mcshield.exe
  • rsnetsvr.exe
  • MpfSrv.exe
  • MPSVC.EXE
  • KISSvc.exe
  • KPfwSvc.exe
  • kmailmon.exe
  • KavStart.exe
  • KPFW32.EXE
  • KVMonXP.KXP
  • KVSrvXP.exe
  • ccSetMgr.exe
  • ccEvtMgr.exe
  • defwatch.exe
  • rtvscan.exe
  • ccapp.exe
  • vptray.exe
  • mcupdmgr.exe
  • mcproxy.exe
  • mcshield.exe
  • MPFSrv.exe
  • mcsysmon.exe
  • mcmscsvc.exe
  • mcnasvc.exe
  • mcagent.exe
  • mcshell.exe
  • mcinsupd.exe
  • bdagent.exe
  • livesrv.exe
  • vsserv.exe
  • xcommsvr.exe
    
• Sistem qeyd şöbəsində aşağıda göstərilən açarları əlavə edir:
  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Application name>] "Debugger" = "%System%\svchost.exe"
  
  Cəmi 51 açar yaradır. Burda <Application name> sətri yuxarıda göstərilən yaddaşdan çıxarılan proseslərdir. Bununla yuxarıda sadalanan proseslərin isrası dayandırılır.
   
• Sistem qeyd şöbəsinin aşağıda göstərilən bölməsindən bütün açarlar silinir.
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  
  
• Bundan sonra troyanla yaradılmış xidmətlər "AsyncMac" və "aec" dayandırılırlar və silinillər.
  
  %System%\drivers\AsyncMac.sys
  
  %System%\drivers\aec.SYS

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən açarı qeyd şöbəsindən silin:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Application name>] "Debugger" = "%System%\svchost.exe"

USB yaddaşlarında surətini yaratmaq ilə yayılan 666 bayt ölçüyə malik olan troyan proqramıdır.  

USB yaddaşlarında surətini yaratmaq ilə yayılır.

USB yaddaşlarında və lokal disklərdə "Autorun.inf" adlanan faylı yaraddır və digər zərərli proqramları köçürür. Yoluxdurulmuş diskləri açarkən avtomatik olaraq troyanın daxilindı olan zərərli skript icra olunur. Həmin skript yoluxdurulmuş diskdə olan başqa zərərli proqramı işə salır.

Məsələn:

F:\STADO\dzogani.exe

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən faylları silin:

Məsələn:

F:\autorun.inf

F:\STADO\dzogani.exe

W32.Expichu yoluxdurulan kompüterə əlavə pisniyyətli faylları yükləyən soxulcandır, hansı ki USB yaddaşlarında surətini yaratmaq ilə yayılır və Autorun.Inf faylı vasitəsilə icra olunur.

W32.Expichu təhlükə altında qoyulan kompüterdə yerinə yetirilən əlavə pisniyyətli faylları yükləmək üçün uzaq kompüterə birləşmək üçün cəhd edir.

USB yaddaşlarında surətini yaratmaq ilə yayılır.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• Aşağıdakıları qeyd şöbəsindən silin:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\”SysLive” = “%CommonProgramFiles%\SysLive.exe”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.COM\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IsHelp.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoGuarder.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360deepscan.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfw32.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfwsvc.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krnl360svc.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kswebshield.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LiveUpdate360.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zhudongfangyu.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ScanFrm.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\agentsvr.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTIARP.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syscheck.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smartassistant.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safebank.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwolusr.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravt08.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvfw.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\killhidepid.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\findt2005.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arvmon.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ToolsUp.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Syscheck2.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREngPS.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsMain.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegEx.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStore.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavCopy.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\”Debugger” = “ntsd -d”

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe\”Debugger” = “ntsd -d”

• Qeyd şöbəsindən çıxın və kompüteri restart edin.

W32.SillyFDC.BDN yoluxdurulan kompüterə əlavə pisniyyətli faylları yükləyən soxulcandır, hansı ki USB yaddaşlarında surətini yaratmaq ilə yayılır və Autorun.Inf faylı vasitəsilə icra olunur.

USB yaddaşlarında surətini yaratmaq ilə yayılır.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• Aşağıdakıları qeyd şöbəsindən silin:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Advanced\”Hidden” = “1″

  HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Advanced\”ShowSuperHidden” = “1″

  HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\system\”DisableRegistryTools” = “1″

  HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\system\”DisableTaskMgr” = “1″

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\”Shell” = “explorer.exe winlogons.EXE”

• Qeyd şöbəsindən çıxın və kompüteri restart edi.

WORM_PALEVO.AZA hədəf kompüterində onun öz pisniyyətli yerinə icra olunan fayllarını silir və Skype və Yahoo Messenger kimi ani mesajlaşma proqramları vasitəsilə yayılan soxulcan-virusdur.

Windows işə düşəndə WORM_PALEVO.AZA özünü qizlətmək üçün qeyd şöbəsini dəyişdirə bilər.

Skype və Yahoo Messenger kimi ani mesajlaşma proqramları vasitəsilə yayılır.

1. Sistem bərpasını müvəqqəti söndürün.
2. Antivirusun bazalarını yeniləyin.
3. Kompüteri SafeMode rejiminə keçirin.
4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
5. Aşağıdakıları qeyd şöbəsindən silin:

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunFirewall Administrating = “%Windows%\infocard.exe”

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunFirewall Administrating = “%Windows%\infocard.exe”

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunFirewall Administrating = “%Windows%\infocard.exe”

6. Qeyd şöbəsindən çıxın və kompüteri restart edi.

Worm:Win32/Rebhip.A adlı soxulcan-virusdur, hansı ki USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır.

Worm:Win32 Rebhip.A yoluxdurulan kompüterdən həssas informasiyanı toplayacaq və qabaqcadan müəyyən edilmiş uzaq serverə onu göndərəcək.

Trojan.Win32.Llac.aaf, Win32/Spatet.A, Trj/Spy.YM - kimi digər antiviruslarla tatınır.

 Win32/Rebhip.A adlı soxulcan-virusdur, hansı ki USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır.

1. Sistem bərpasını müvəqqəti söndürün.
2. Antivirusun bazalarını yeniləyin.
3. Kompüteri SafeMode rejiminə keçirin.
4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
5. Aşağıdakıları qeyd şöbəsindən silin:

   HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run “WinDefence”

   HKCU\Software\SlysBitch “FirstExecution”

6. Qeyd şöbəsindən çıxın və kompüteri restart edi.

Trojan.Win32.Llac.aaf troyan-virusudur ki, yoluxdurulan kompüterə başqa zərərli proqramların yüklənməsini və quraşdırmağını təmin edir.

Worm:Win32/Rebhip.A, Win32/Spatet.A, Trj/Spy.YM - kimi digər antiviruslarla tatınır.

1. Sistem bərpasını müvəqqəti söndürün.
2. Antivirusun bazalarını yeniləyin.
3. Kompüteri SafeMode rejiminə keçirin.
4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
5. Aşağıdakıları qeyd şöbəsindən silin:

   HKLM\SOFTWARE\Microsoft\Windows\Current Version\policies\Explorer\Run ] “Policies” = “c:\dir\install\install\server.exe

   HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{OMDOX3XX-8BT5-IB7L-O5T6-V35T0TG7XKS8} ] “StubPath” = “c:\dir\install\install\server.exe Restart”

6. Qeyd şöbəsindən çıxın və kompüteri restart edi.

Trojan.Ascesso.A başqa təhdidin qeyri-iradi yüklənə bilindiyi pisniyyətli vebsayta göstərən linkini özündə saxlayan spam elektron poçtları vasitəsilə yayılan troyan-virusudu. Trojan.Ascesso.A yoluxdurulan kompüterdə elektron poçt ünvanını toplayır və eyni məzmunu göndərir.

Trojan.Ascesso.A yoluxdurulan kompüterdə elektron poçt ünvanını toplayır və eyni məzmunu göndərməklə yayılır.

1. Sistem bərpasını müvəqqəti söndürün.
2. Antivirusun bazalarını yeniləyin.
3. Kompüteri SafeMode rejiminə keçirin.
4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
5. Aşağıdakıları qeyd şöbəsindən silin:
   

   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”Type” = “1″

   
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”Start” = “0″

   
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”ErrorControl” = “0″

   
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”ImagePath” = “System32\Drivers\[RANDOM LETTERS].sys”

   
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”Group” = “SCSI Class”

6. Qeyd şöbəsindən çıxın və kompüteri restart edi.

W32.SillyFDC.BDM adlı soxulcan-virusdur, hansı ki USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır.

Windows işə düşəndə W32.SillyFDC.BDM özünü qizlətmək üçün qeyd şöbəsini dəyişdirə bilər.

USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır. 

1. Sistem bərpasını müvəqqəti söndürün.
2. Antivirusun bazalarını yeniləyin.
3. Kompüteri SafeMode rejiminə keçirin.
4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
5. Aşağıdakıları qeyd şöbəsindən silin:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Banyak_Kerjaan” = “%SystemDrive%\RECYCLER\Tukang.exe”
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Hidup_Susah” = “%SystemDrive%\RECYCLER\Pembantu.exe”
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Rakyat_Kelaparan” = “%SystemDrive%\RECYCLER\Kuli.exe”
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Rakyat_Miskin” = “%SystemDrive%\RECYCLER\Buruh.exe”
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Services++” = “%SystemDrive%\RECYCLER\services.exe”

6. Qeyd şöbəsindən çıxın və kompüteri restart edi.

Trojan.Bredolab.BR populyar Bredolab malware ailəsinin başqa variantıdır.

Bundan fərqli olaraq bəzi daha köhnə variant ki, biri bu halda olduqca sadə davranışa, malikdirlər ki, başqa malware komponentlərini yükləməkdir. Bundan asılı olmayaraq funksional imkanı məhdudlaşdırdı, bu onun kiçik düşmən proqram kodunu gizlədən olduqca qarışdırılan kod ilə müdafiəni qablaşdıran ənənədən istifadə etməklə analizə və ya antimalware proqramlarına qarşı çox yaxşı qorunur, üzə çıxarmanı standart antivirus skanerləri üçün çətin başa gəlir.

Fayla fikirləşmək üçün şübhələnməyən kompüter istifadəçisi zərərsiz sənəd bənzər təsvir ilə açıq-aydın görünür, o heç bir zərəri edə bilməz. İcrada , o onun kodunu açıb çıxardacaq və başqa trojans-ı, antivirusu və ya skanerləri (PC Antispyware 2010 kimi) antispyware-ni, adətən yükləmək və yerinə yetirmək üçün HTTP protokolundan müxtəlif uzaq ünvanlara birləşməyə cəhd edəcək.

Necə ki artıq xatırladılan, bu spesifik variant başqa yoluxdurulan faylları yükləmək istisna olmaqla heç nəyi faktik olaraq etməyəcək. Məsələn o sistem buraxılmasında avtomatik başlamaq üçün özünü qeydə almır, edir, o bir qədər başqa variantlar kimi başqa proseslərə kodu yeridir.

W32/Bredolab.T.gen!Eldorado, Generic Dropper.lr, Packed.Win32.Krap.x - kimi digər antiviruslarla tatınır.

1. Antivirusun bazalarını yeniləyin.
2. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

Adware.EZLife buraxılmada özünü işə salmaq üçün Windows qeyd şöbəsini dəyişdirən potensial olaraq arzuedilməz proqramdır.

Adware.EZLife yoluxdurulan kompüterdə həddən artıq reklamları göstərəcək.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• Aşağıdakıları qeyd şöbəsindən silin:
  
  

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”ezLife” = “C:\WINDOWS\system32\[RANDOM FILE NAME ONE].dll”
  
  HKEY_CLASSES_ROOT\CLSID\{E0EC6FBA-F009-3535-95D6- B6390DB27DA1}\InprocServer32\”default” = “C:\WINDOWS\system32\[RANDOM FILE NAME ONE].dll”
  
  HKEY_CLASSES_ROOT\CLSID\{275817B3-0A2A-4BFE-8036- 0B61D81FE603}\InprocServer32\”default” = “C:\WINDOWS\system32\[RANDOM FILE NAME TWO].dll”
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\Smart-Ads-Solutions\UninstallString
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\ezLife\UninstallString
  
  HKEY_CLASSES_ROOT\CscrptXt.CscrptXt.1.0
  
  HKEY_CLASSES_ROOT\CscrptXt.CscrptXt
  
  HKEY_CLASSES_ROOT\adHlpr.adHlpr.1.0
  
  HKEY_CLASSES_ROOT\adHlpr.adHlpr
  
  HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr.1.0
  
  HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr
  
  HKEY_CURRENT_USER\Software\Smart-Ads-Solutions
  
  HKEY_CURRENT_USER\Software\ezLife

  HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions
  
  HKEY_LOCAL_MACHINE\SOFTWARE\ezLife
  
  HKEY_CLASSES_ROOT\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D}
  
  HKEY_CLASSES_ROOT\AppID\{A9722A0D-365F-47D2-B70B-37D046316D99}

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\Smart-Ads-Solutions
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\ezLife
  

• Qeyd şöbəsindən çıxın və kompüteri restart edi.

W32.Yimfoca Microsoft Malware Protection Xidmətinə və Windows Yeniləməsinə mənsub olan prosesləri dayandırmaq ilə kompüterin təhlükəsizlik quraşdırmalarını yoluxdurdu.

W32.Yimfoca Yahoo Messenger proqramından pisniyyətli linklər göndərməyi çoxaldacaq.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
• Aşağıdakıları qeyd şöbəsindən silin:
  

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Firewall Administrating” = “%Windir%\infocard.exe”

• Qeyd şöbəsindən çıxın və kompüteri restart edi.

İstifadəçinin kompüterində dağıdıcı hərəkəti yerinə yetirən troyan proqramdır. Trojan.Artilyb - Microsoft Office RTF File Stack Buffer Overflow zəifliyini geniş istifadə edir.

  Xüsusi hazirlanmış .rtf fayl email əlavəsi kimi yayılır.

• Sistem bərpasını müvəqqəti söndürün.
• Antivirusun bazalarını yeniləyin.
• Kompüteri SafeMode rejiminə keçirin.
• Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.