Бесплатные антивирусы

Запуск

При запуске троян копирует себя в корень каталога windows:

%WinDir%\memorium.exe

Для запуска при каждом следующем запуске Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="memorium.exe"

Добавляет параметр в файл конфигурации wininit.ini:

мemorium=memorium.exe
Действие

При запуске выводит сообщение:

The Anicient Ones are near !!! Fear not these latter days of humanity...

После запускает браузер и открывает следующую ссылку:

http://www.miskatonic.net/pickman/myt**s/ermiis1.jpg

Запускает процесс:

shutdown.exe –l

Что приводит к завершению работы Windows.
Удаление

Завершаем троянский процесс (memorium.exe).
Удалить оригинальный файл трояна.
Удалить копию трояна:
%WinDir%\memorium.exe
Удалить параметр в ключе реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="memorium.exe"
Удалить строку из файла wininit.ini:
мemorium=memorium.exe
Другие названия

Win32/Pandora.L (Eset)

Trojan.Win32.Pandora.l («Лаборатория Касперского»)

W32.Thonic@mm (Symantec)

Trojan.Snakebyte.4096 (Doctor Web)

Trojan:Win32/Pandora.L (RAV)

Win32:Trojan-gen. (ALWIL)

TROJ_PANDORA.L (Trend Micro)

Trojan.Pandora.L (SOFTWIN)

Trojan Horse.AP (Panda)

Источник информации stopvirus.ru