Tok cirrhatus в автозагрузке что это
Вирус-червь Brontok.a ПОМОГИТЕ.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Worm.Brontok.Win32.1
Worm.Brontok.Win32.1 – червь, распространяющийся при помощи электронной почты и съемных носителей. размер файла 71359 байт, упакован MEW 11 1.2.
Методы распространения
распространяется при помощи массовой рассылки электронной почты, отправляя свои копии, в виде прикреплённого файла к e-mail, на все найденные на компьютере почтовые адреса. Также может распространяться посредством USB flash носителей.
Внедрение в систему
После запуска, червь создаёт свои копии под следующим именами:
%AppData% \csrss.exe
%AppData% \inetinfo.exe
%AppData% \lsass.exe
%AppData% \services.exe
%AppData% \smss.exe
%AppData% \winlogon.exe
%UserProfile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\empty.pif
%UserProfile%\ШАБЛОНЫ\brengkolang.com
%WinDir% \eksplorasi.exe
%WinDir% \shellnew\sempalong.exe
%WinDir% \system32\ ‘s setting.scr
Для автоматического запуска червь добавляет записи в реестр:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Bron-Spizaetus = %WinDir%\ShellNew\sempalong.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Tok-Cirrhatus = % AppData% \smss.exe
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = % WinDir% \eksplorasi.exe
Маскировка в системе
Червь понижает настройки безопасности, изменяя следующие ключи реестра:
Также червь отключает возможность редактирования реестра и консольный ввод:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = dword:00000001
DisableCMD = dword:00000000
Червь блокирует запуск “Менеджера задач” а также нескольких других программ мониторинга и антивирусной защиты.
Функциональные возможности
Деструктивные особенности
Из-за массовой рассылки почты червь генерирует большой интернет трафик, кроме того он может блокировать доступ к некоторым сайтам антивирусных компаний изменяя файл hosts.
Помогите Tok-Cirrhatus (бронток) (заявка № 39489)
Опции темы
В автозагрузке нашел Tok-cirrhatus с коммандой по адресу «C:\Users\MyName\AppData\Local\smss.exe»
Каспер и нод его не видят
Как это животное пустить в расход.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пришлите карантин по правилам и повторите логи.
Гриша сделал всё как сказал.
Проблема остается
Я в логах его тоже не вижу. А просто удалить не пробовали?
Ты суслика видишь? Нет! И я нет! А он есть. 
Дык это правильный smss, вот и не удаляется.
Выше речь шла о C:\Users\MyName\AppData\Local\smss.exe
Я к нему подобраться не могу.
Итог лечения
Уважаемый(ая) morozik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Подскажите пожалуйста при загрузке компьютера появляется надпись. Не удалось найти C:\windows\eksplorasi.exe Как удалить
Вируссссссс)) )
Лечится большинством антивирусов, вот только при старте системы вылазит сообщение типа «Файл c:\windows\system32\eksplorasi.exe не найден» В принципе ничего страшного, но глаза режет. лечится поиском в реестре Eksplorasi.exe тама будет что то типа «explorer.exe c:\windows\system32\eksplorasi.exe»
так вот оставить только Explorer.exe
это Email-Worm.Win32.Brontok.a (Kaspersky), W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (AntiVIR), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset).
Технические детали.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные
письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция.
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoFolderOptions»=»1»
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Имя файла-вложения:
Kangen.exe
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Email-Worm.Win32.Brontok.q
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.
При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки».
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:
В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:
Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:
и в системный каталог Windows (%System%) под следующими именами:
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
в каталог шаблонов документов:
и в каталог «Мои рисунки» каталога документов текущего пользователя:
В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html.
Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.
После этого происходит регистрация автозапуска копий червя в системе:
Также после инсталляции червя в системном каталоге Windows создается файл sistem.sys, содержащий дату и время инсталляции червя в систему в формате mmddhhmm, где mm – месяц, dd – день, hh – часы, mm – минуты инсталляции червя в двухсимвольном формате.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
Также адреса для рассылки зараженных писем извлекаются из файлов со следующими расширениями:
Также создается каталог Ok-SendMail-Bron-tok для хранения адресов отправленных писем.
При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка:
Червь получает заголовок активного окна и перезагружает систему в случае присутствия в строке заголовка следующих подстрок: