Как бороться с вредоносными программами семейства Trojan-PSW.Win32.Kates

Троян (англ. — trojan) – тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты компьютерной системы с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленников.

Похитители паролей (Trojan-PSW) – трояны, предназначенные для получения паролей и прочей конфиденциальной информации, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.

Лечение систем, зараженных вредоносными программами семейства Trojan-PSW.Win32.Kates (также известен как W32/Daonol) производится с помощью установленного на компьютерах продукта Лаборатории Касперского. Если же ни один продукт не установлен (например, Kaspersky Anti-Virus), то мы рекомендуем либо установить один из продуктов Лаборатории Касперского, либо воспользоваться утилитой Kabasigi для удаления вредоносных программ семейства Trojan-PSW.Win32.Kates.

1. Признаки заражения
Антивирусная программа находит зараженный файл с произвольным именем и расширением, который удаляется, но тут же восстанавливается снова (к продуктам Лаборатории Касперского это не относится, т.к. все продукты включают в себя специальную процедуру лечения).
При попытке запуска следующих приложений explorer.exe самопроизвольно завершается:
Редактор реестра (regedit.exe)
Командная строка (cmd.exe)
Total Commander
Невозможно запустить файлы с расширениями:
.bat;
.reg.
Происходят перехваты следующих функций почти во всех процессах:
CreateProcessW;
WSARecv;
WSASend;
send;
connect;
recv.
Для опытных пользователей: можно отследить перехваты, используя, например, программу Gmer:

или Rootkit Unhooker:

2. Как вылечить систему
Чтобы вылечить систему, выполните следующие действия:

Скачайте файл Kabasigi.exe. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
Для пользователей ОС Windows 8
Для пользователей ОС Windows 7
Для пользователей ОС Windows Vista
Запустите файл Kabasigi.exe на зараженной (или потенциально зараженной) машине.
Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения не требуется.
В ходе своей работы утилита при запуске без параметров выполняет:

Поиск и завершение зловредных потоков (threads);
Поиск и снятие перехватов функций:
CreateProcessW;
WSASend;
WSARecv;
send;
recv;
connect.
Поиск и удаление файлов и ключей реестра, относящихся к вредоносной программе.
Перезагрузка после лечения не требуется.

3. Дополнительные ключи для запуска утилиты из командной строки
-l <имя_файла> – запись отчета в файл.
-v – ведение подробного отчета (необходимо вводить вместе с параметром -l).
-s – проверка в «тихом» режиме (без вывода консольного окна).
-y – закрытие окна по окончании работы утилиты.