Trojan.BAT.KillFiles.fy
Материал из Total Malware Info
Trojan.BAT.KillFiles.fy Вредоносная программа выполняющая деструктивные действия на компьютере пользователя. Является пакетным файлом командного интерпретатора (BAT-файлом). Имеет размер 748 байт.
Инсталляция
При запуске троянец копирует свой исполняемый файл под следующими именами:
%System%\parche2.bat %WinDir%\parche2.bat C:\Archivos de programa\Microsoft Office\parche2.bat
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "parche.bat" = "C:\Windows\System32\parche.bat"
Деструктивная активность
Далее троянец удаляет файлы со следующими именами из системного каталога Windows:
%System%\cmd %System%\regedt32 %System%\notepad %WinDir%\system\sound.drv
После этого вредонос удаляет следующий каталог:
%ProgramFiles%\Microsoft Office\OFFICE11
Затем троянец пытается удалить файлы с расширением "dll" в следующих каталогах:
%WinDir%\system %System%
Перед удалением файлов из системного каталога Windows, вредонос сбрасывает у файлов атрибуты "Только чтение", "Скрытый", "Архивный" и "Системный"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файлы:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "parche.bat" = "C:\Windows\System32\parche.bat"
%System%\parche2.bat %WinDir%\parche2.bat C:\Archivos de programa\Microsoft Office\parche2.bat
