Trojan.VBS.DelReg
Материал из Total Malware Info
Trojan.VBS.DelReg Троянская программа, нарушающая работоспособность компьютера. Имеет размер 2 208 байт. Написан на Visual Basic Script.
Деструктивная активность
При запуске троянец устанавливает следующие ключи реестра:
- Для автоматического запуска при следующем старте системы добавляет ссылки на исполняемые файлы в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "inet" = "c:\windows\file.exe" "drivers" = "c:\windows\system\drv.exe" "drvload" = "c:\windows\drivers.exe" "netinfo" = "c:\windows\netinfo.exe" "info" = "c:\windows\system\netinfo.exe" [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "inet" = "c:\windows\file.exe" "drivers" = "c:\windows\system\drv.exe" "drv" = "c:\windows\drivers.exe" "netinfo" = "c:\windows\netinfo.exe" "info" = "c:\windows\system\netinfo.exe"
[HKCU\Software\Microsoft\CurrentVersion\Policies\Explorer] "NoDesktop" = "1"
[HKCC\Display\Settings] "Resolution" = "1600,1200"
Удаляет следующие ключи реестра:
[HKCR\.gz] [HKCR\.mp3] [HKCR\.wav] [HKCR\.jpg] [HKCR\.pwl] [HKCR\.avi] [HKCR\.mpg] [HKCR\.mpeg] [HKCR\.c] [HKCR\.sw3] [HKCR\.sw4] [HKCR\.swf] [HKCR\.tgz] [HKCR\.tar] [HKCR\.zip] [HKCR\.rar] [HKCR\.swl] [HKCR\.swg] [HKCR\CDAUDIO] [HKCR\.http] [HKCR\.htm] [HKCR\.html] [HKLM\Hardware\DeviceMap] [HKCU\RemoteAccess]
Таким образом, троянец удаляет информацию о расширении файлов, информацию о каждом удаленном соединении, а также удаляет раздел, который отвечает за все установленные устройства на компьютере.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Восстановите значение ключей реестра из резервной копии.
