Trojan.BAT.Shutdown.ar
Материал из Total Malware Info
Trojan.BAT.Shutdown.ar Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Представляет собой файл командного интерпретатора (BAT-файл). Имеет размер 569 байт.
Инсталляция
После запуска троянец копирует свой исполняемый файл с именем: C:\Documents and Settings\All Users\ᬬк¦-б¦-T¦е\¦¦¦Є\¦Ї¦п\a.bat Для автоматического запуска при следующем старте системы троянец добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "autoexec.bat"="c:\autoexec.bat" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "autoexec.bat"="c:\autoexec.bat"
Деструктивная активность
Затем троянец также копирует свое тело в файл с именем:
C:\AUTOEXEC.BAT
и выставляет для данного файла атрибуты "Только чтение", "Скрытый" и "Системный". После этого вредонос запрещает отображение скрытых фалов, добавляя в системный реестр следующую информацию:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\Showall] "CheckedValue"=dword:00000000
В завершении троянец удаляет свой оригинальный исполняемый файл и перезагружает компьютер пользователя. После этого перезагрузка компьютера выполняется все время через 10 секунд после загрузки ОС.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Для предотвращения перезагрузки компьютера, выполнить в командной строке команду
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файлы:
shutdown -a
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "autoexec.bat"="c:\autoexec.bat" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "autoexec.bat"="c:\autoexec.bat" [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\Showall] "CheckedValue"=dword:00000000
C:\AUTOEXEC.BAT C:\Documents and Settings\All Users\ᬬк¦-б¦-T¦е\¦¦¦Є\¦Ї¦п\a.bat
