![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Мрак какой-то
Столкнулся с трояном, про который почти не знает гугл, и не знают касперский и доктор-веб. Занимается тем, что в тысяче потоков брутит пароли на RDP, где-то взяв список хостов для взъобки. Выглядит как сервис с исполняемым файлом c:\windows\system32\SVCMSV3.EXE или c:\windows\system32\MODULE.EXE. Вроде прячет себя от списка процессов.
Касперский с включенной проактивной защитой и анти-шпионом не дает ему работать, похоже что сервис толи сам выключается, то ли падает с ошибкой, но в общем после этого можно файло удалить. А из реестра нужно выпилить ключик "HKLM\SYSTEM\CurrentControlSet\Services\svcmsv32"
Касперский с включенной проактивной защитой и анти-шпионом не дает ему работать, похоже что сервис толи сам выключается, то ли падает с ошибкой, но в общем после этого можно файло удалить. А из реестра нужно выпилить ключик "HKLM\SYSTEM\CurrentControlSet\Services\svcmsv32"
no subject
no subject