coyc (Хакер_ру) все записи автора Нужно что бы (пример):
при запуске бата,он копировался например в
\\файлопомойка\папка1
\\файлопомойка\папка2
\\файлопомойка\папка3
то есть что бы копирование шло во всем имевшиеся папки в данной категории


+ было бы не плохо,если бы при обнаружении уже имеющегося файла,занесение в папку бата с рандомным именем.


-
есть идеи как это осушествить? :)

С4етовод (Хакер_ру) все записи автора У меня вопрос. Раз в день в одно и то же время Акасперского выдает сообщение о попытке взлома...при этом используется один и тот же Worm - Helkern...при это с разных айпишников...хотелось бы найти причину...

З.Ы. Людей желающих вскрыть мой комп нет. Потому что на нем ничего нет=)

Bad_Kpoxa (Хакер_ру) все записи автора Постоянно вылетает такая табличка...что это значит???

-Driada- (Хакер_ру) все записи автора вот приезжаешь ты однажды домой а тебе комп выдает ошибку процесса lsass.exe
это не комп глючит-это червь Win32:Padobot-I

Worm.Win32.Padobot


Вирус-червь. Также известен под названием Korgo. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.

Червь написан на языке C++. Имеет размер около 10 КБ, упакован UPX.

Размножение
При запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate"="%system%\[имя файла]"
Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless]
"Server"="1"
Создает в памяти уникальные идентификаторы "10", "u2", и "uterm5" для определения своего присутствия в системе.

Червь, аналогично другим червям, использующим уязвимость в службе LSASS, выбирает произвольные IP-адреса для атаки и заражения.

Прочее
После заражения инфицированная машина выводит сообщение об ошибке "LSASS service failing", после чего может попытаться перезагрузиться.

Червь открывает на зараженной машине порты TCP 113, 3067 и 2041 для приема команд.

Пытается установить соединение с несколькими каналами на IRC-серверах:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org
для приема команд и передачи данных.

Он же n0xwe11

вирус распостраняется через локальные сети и пролезает через бреши в первом сервис-паке винды ХР.так что лучше иметь либо пак 2 либо поставить заплаток.касперский и панда его по откликам заражавшихся пропускают и источника инфекции не находят
у меня аваст
запустила просканить все в режиме авто-загрузки и вот он выдал список н файлов,которые я отправила в хранилище,а потом собственно удалила
так во нашла в папке system32 папку local Settings и там кучка файлов такого плана XXXXXXX[1],XXXXXXX[2] и так далее короче сидел параллельно этот Ip и пытался атаковать другими вирусами.когда мен это заколебало-вынула кабель(давно пора,опомнилась=))))ворм активируется ели обнаруживает на вашем компе подключение по локальной сети,а так как его нет,то спите спокойно,вот как выключила,так и стала в режиме загрузки сканить комп,а вот где собственно прячется главный источник инфекции,он пробирается в стандартную папку ля файловой системы NTFS System Volume Information,в обычном режиме она не доступна но он лежит там,вот что выдал мне отчет аваст по этому поводу
D:\System Volume Information\_restore{D3C983F9-25D3-4481-8284-242F2CD2FB81}\RP53\A0027921.exe [L] Win32:Trojan-gen. {VC} (0)
Файл был успешно удален...
все вышло,а один чувак ради этого переводил ntfs в fat32 =)
папка-то в другой Фс затирается))
вот просканила все окончательно и теперь снова живу без проблем

Ноябрина (Хакер_ру) все записи автора _______________________________________________________________________________

Ноябрина (Хакер_ру) все записи автора Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция
После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip
При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc
Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content
temporary
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Тема письма:
*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
You Must View This Videoclipe!
Текст письма:
----- forwarded message -----
>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello, i send the file. Bye
Hot XXX Yahoo Groups
how are you? i send the details.
i attached the details. Thank you.
i just any one see my photos. It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: Sex Video
ready to be FUCKED ;)
The Best Videoclip Ever
VIDEOS! FREE! (US$ 0,00)
What?
Имя файла-вложения:
007.pif
04.pif
3.92315089702606E02.UUE
677.pif
Attachments[001].B64
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
eBook.Uu
image04.pif
New_Document_file.pif
Original Message.B64
photo.pif
School.pif
SeX.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$
C$
Прочее
В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"
"avast!"
"AVG_CC"
"AVG7_CC"
"AVG7_EMC"
"AVG7_Run"
"Avgserv9.exe"
"AVGW"
"BearShare"
"ccApp"
"CleanUp"
"defwatch"
"DownloadAccelerator"
"kaspersky"
"KAVPersonal50"
"McAfeeVirusScanService"
"MCAgentExe"
"McRegWiz"
"MCUpdateExe"
"McVsRte"
"MPFExe"
"MSKAGENTEXE"
"MSKDetectorExe"
"NAV Agent"
"NPROTECT"
"OfficeScanNT Monitor"
"PCCClient.exe"
"pccguide.exe"
"PCCIOMON.exe"
"PccPfw"
"Pop3trap.exe"
"rtvscn95"
"ScanInicio"
"ScriptBlocking"
"SSDPSRV"
"TM Outbreak Agent"
"tmproxy"
"Vet Alert"
"VetTray"
"VirusScan Online"
"vptray"
"VSOCheckTask"
Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:

fix
kaspersky
mcafee
norton
removal
scan
symantec
trend micro
virus
Червь удаляет все найденные файлы из следующих папок:

%ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe

Все перечисленные действия червя делают систему более уязвимой для последующих атак.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры.

Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip
Испорченные файлы содержат следующий текст:

DATA Error [47 0F 94 93 F4 F5]
Рекомендации по удалению

Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
В диспетчере задач найдите процесс с одним из следующих имен:
New WinZip File.exe
rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
WinZip Quick Pick.exe
Если обнаружите такой процесс — завершите его.
Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
Удалите из системного реестра следующую запись:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение.
Произведите полную проверку компьютера Антивирусом Касперского

Ноябрина (Хакер_ру) все записи автора «Лаборатория Касперского» напоминает, что в пятницу, 3 февраля, впервые активизируются деструктивные функции червя Nyxem.e.

Червь проверяет системное время и 3 числа каждого месяца уничтожает содержимое файлов со следующими расширениями:


dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip
Восстановить уничтоженные червем данные будет невозможно.

Червь также пытается противодействовать работе антивирусных программ.

«Лаборатория Касперского» рекомендует пользователям произвести резервное копирование важных для них файлов до полуночи с четверга на пятницу.

Детектирование Nyxem.e было добавлено в базы данных Антивируса Касперского 16 января. Для надежной защиты от этого червя пользователям Антивируса Касперского необходимо скачать новейшие антивирусные базы.

Если ваш компьютер уже заражен и как следствие вы не можете запустить свой антивирус, то воспользуйтесь инструкциями по ручному удалению Nyxem.e (они в предыдущем сообщении)

Плесень (Хакер_ру) все записи автора Основным признаком, по которому типы червей различаются между собой, является способ распространения червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви
К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:


прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:


рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя во всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

IM-Worm — черви, использующие интернет-пейджеры
Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm — черви в IRC-каналах
У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви
Существуют прочие способы заражения удаленных компьютеров, например:


копирование червя на сетевые ресурсы;
проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
проникновение в сетевые ресурсы публичного использования;
паразитирование на других вредоносных программах.

Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют сетевые черви, паразитирующие на других червях и/или троянских программах уделенного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию.

Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm — черви для файлообменных сетей
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.

Плесень (Хакер_ру) все записи автора Первый представитель данного семейства сетевых червей, "Code Red" (также известный под именем "Bady"), по данным ZDNet, уже заразил около 12 000 серверов по всему миру и провел крупномасштабную DDoS атаку на Web сервер Белого дома, вызвав нарушение его нормальной работы.

"Code Red" заражает только компьютеры под управлением Windows 2000 (без установленных сервисных пакетов), с установленным Microsoft Internet Information Server (IIS) и включенной службой индексирования (Indexing Service). Вместе с тем, именно это программное обеспечение чаще всего используется на коммерческих Web, FTP и почтовых серверах, что и определило широкое распространение червя. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Однако автор червя умышленно "нацелил" его только на системы Windows 2000.

Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS, которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Для этого "Code Red" посылает на случайно выбранный удаленный сервер специальный запрос дающий компьютеру команду запустить основную программу червя, которая в свою очередь попытается таким же образом проникнуть на другие серверы. Одновременно в памяти компьютера может существовать сразу сотни активных процессов червя, что существенно замедляет работу сервера.

18 июня 2001 г. Microsoft выпустила заплатку, устраняющую данную брешь, однако подавляющее большинство пользователей еще не успело обновить свое программное обеспечение.

Важной особенностью "Code Red" является то, что в процессе работы он не использует никаких временных или постоянных файлов. Данный червь уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде TCP/IP-пакета при пересылке на удаленные машины. Подобная "бестелесность" представляет серьезную проблему для защиты серверов, поскольку требует установки специальных антивирусных модулей на межсетевые экраны.

Помимо значительного замедления работы зараженных компьютеров, "Code Red" имеет другие побочные действия. Во-первых, червь перехватывает обращения посетителей к Web сайту, который управляется зараженным IIS-сервером, и вместо оригинального содержимого передает им следующую страницу:




После показа фальсифицированной стартовой страницы взломанного Web сайта в течение 10 часов, червь автоматически возвращает все на свои места и посетители видят оригинальную версию сайта. Важно отметить, что данный эффект проявляется только на системах, где по умолчанию используется язык "US English".

Во-вторых: между 20 и 27 числами каждого месяца включительно червь осуществляет DDoS (Distributed Denial of Service) атаку на сайт Белого дома США (www.whitehouse.gov). Для этого копии червя на всех зараженных компьютерах посылают многочисленные запросы на соединение, что вызывает зависание сервера, обслуживающего данный Web-сайт.

Для нейтрализации, а также в качестве профилактической меры для предотвращения проникновения червя на сервер, мы рекомендуем пользователям немедленно установить "заплатку" для исправления "бреши" в системе безопасности IIS.

"CodeRed.c" (также известен, как "CodeRedII")
4 августа 2001 г. была обнаружена новая модификация червя CodeRed - CodeRed.c.

По сравнению с более ранними версиями, программный код "CodeRed.c" занимает меньше места и написан с большим знанием языка программирования Assembler. В этой версии также исправлена ошибка, которая допускала существование нескольких активных процессов червя. Эта модификация содержит строку:

CodeRedII
Данная модификация "червя" также следит за текущей датой и начиная с 1 октября 2001 года (и в любой последующий день) перезагружает компьютер.

Новая версия червя также содержит бекдор-процедуру (Backdoor). Эта процедура копирует стандартный командный процессор Windows2000 CMD.EXE под именем ROOT.EXE в два стандартных каталога IIS-сервера:

\inetpub\scripts\root.exe
\progra~1\common~1\system\MSADC\root.exe
Это позволяет удаленно управлять зараженной машиной.

Червь также создает троянскую программу (которая хранится в теле червя в упакованном виде) в корневых каталогах дисков C: и D: под именем EXPLORER.EXE, длина троянца - 8192 байт. Этот троянец:

отключает Windows File Protection, для этого записывает соответствующее значение в ключ реестра:
HKLM\SoftwareMicrosoftWindowsNtCurrentversionWinlogon\SFCDisable
открывает на полный доступ каталоги Web-сервера на дисках C: и D:.
Детальный анализ кода "CodeRed.c" показывает, что эта модификация могла быть ответом другой группы хакеров на предыдущие версии червя. В отличии от версий ".a" и ".b", здесь основной урон наносится компьютерам, на которых по умолчанию установлена китайская таблица символов. В этом случае червь запускает 600 параллельных процессов распространения вместо 300 обычных, что значительно усиливает нагрузку на пораженный сервер. Также на компьютерах с китайской таблицей символов "CodeRed.c" имеет возможность распространяться с течение 48 часов до выключения компьютера (в отличие от 24 часов а "некитайских" системах).

Эта модификация использует новый усовершенствованный алгоритм поиска целевых IP-адресов для попытки проникновения на них. Данный алгоритм выбирает для атаки в первую очередь те адреса, которые больше всего похожи на IP-адрес зараженной машины, с которой планируется произвести атаку.

В 1 из 8 случаев IP-адрес атакуемых машин будет полностью случайным. Если активная копия червя находится по адресу 192.a.b.c, то в 4 из 8 случаях червь будет пытаться атаковать все адреса из той же сети, например 192.??.??.??, а в 3 случаях из 8 - той же сети 192.xx.??.??.

Таким образом, у компьютеров в сети 192.??.??.?? (где '??' - любое число в диапазоне 0..255) больше шансов подвергнуться атаке червя, чем у любых других.

Такой механизм поиска целевых компьютеров имеет больший шанс на успех, нежели примененный в "CodeRed.a" и "CodeRed.b" метод случайного поиска.

Однако, генератор случайных IP-адресов в коде червя, по видимому, содержит ошибки, и некоторые IP-адреса в сети никогда не будут атакованы.

Инструкция по удалению троянской компоненты CodeRed II
1. Скачать и установить патч Microsoft отсюда:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2. Удалить из памяти процесс троянца следующим образом:

2.1 Нажать одновременно CTRL-SHIFT-ESC для вызова "Диспетчера задач" ("Task manager");
2.2 Выбрать закладку "Процессы" ("Processes");
2.3 Отсортировать для удобства список процессов по имени, для чего щелкнуть по заголовку "Имя процесса" ("Image Name");
2.4 В списке задач присутствуют два процесса по имени Explorer.exe. Чтобы отличить процесс троянца, необходимо:
2.4.1 в меню "Вид" ("View") выбрать пункт "Выбрать столбцы..." ("Select column...");
2.4.2 Затем в появившемся окне поставить галочку "Счетчик потоков" ("Thread count") и нажать Ок;
2.5 В появившемся дополнительном столбце "Потоков" ("Thread") видно количество потоков, связанных с каждым процессом. Процесс троянца с именем Explorer.exe имеет только один поток. Этот процесс и нужно удалить. Для этого:
2.6 выбрать этот процесс;
2.7 нажать кнопку "Завершить процесс" ("End process");
2.8 ответить "Да" ("Yes") на заданный вопрос;
2.9 Закрыть окно "Диспетчера задач" ("Task Manager").
3. Удалить файлы explorer.exe из корневых каталогов дисков C: и D:, для чего необходимо выполнить следующее:

3.1 Дважды щелкнуть на значке "Мой компьютер" ("My computer");
3.2 Дважды щелкнуть на значке диска C:;
3.3 Если файл explorer.exe не виден, то надо выполнить следующее:
3.3.1 В меню "Сервис" ("Tools") выбрать пункт меню "Свойства папки" ("Folder options...");
3.3.2 Выбрать закладку "Вид" ("View");
3.3.3 В области "Дополнительные параметры" ("Advanced settings") найти и включить опцию "Показывать скрытые файлы и папки" ("Show hidden files and folders");
3.3.4 Найти и отключить опцию "Скрывать защищенные системные файлы (рекомендуется)" ("Hide protect operating system files (Recomended)"). На заданный вопрос ответить "Да" ("Yes");
3.3.5 Нажать OK. Все скрытые файлы станут видны.
3.4 Удалить файл explorer.exe, выделив его мышью и нажав клавишу Del и подтвердив удаление;
3.5 Повторить процедуру удаления файла с диска D:, исключая пункт 3.3.
4. Удалить подобным образом четыре файла, относящиеся к троянцу, если они существуют:

C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\Program files\Common Files\System\MSADC\Root.exe
D:\Program files\Common Files\System\MSADC\Root.exe
5. Теперь необходимо удалить виртуальные каталоги, созданные троянцем. Для этого необходимо:

5.1 Щелкнуть правой кнопкой мыши на значке "Мой компьютер" ("My computer") и выбрать пункт меню "Управление" ("Manage");
5.2 В окне "Управление компьютером" ("Computer managment") выбрать "Управление компьютером/Службы и приложения/Internet Information Services/<Ваш web-сервер>" ("Computer managment/Services and Applications/Internet Information Services/<Ваш web-сервер>")
5.3 Выделить виртуальный каталог "C" и нажать Del. Ответить "Да" ("Yes") на заданный вопрос.
5.4 Аналогично поступить с каталогом "D".
6. Произвести чистку реестра, для чего следует:

6.1 Запустить редактор реестра, для чего нажав кнопку "Пуск" ("Start") и выбрав пункт "Выполнить" ("Run"), ввести "regedit" и нажать Enter.
6.2 Найти ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
6.3 Выделить параметр "/C" и нажать Del. На заданный вопрос ответить "Да" ("Yes")
6.4 Аналогично удалить параметр "/D".
6.5 Дважды щелкнуть на параметре "/MSDAC" и изменить цифру в конце значения на 201.
6.6 Аналогично поступить с параметром "/Scripts"
6.7 Найти ключ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
6.8 Дважды щелкнуть на параметре "SFCDisable" и изменить его значение на 0.
7. Перезагрузить компьютер.