Trojan.VBS.StartPage.a
Материал из Total Malware Info
Trojan.VBS.StartPage.a
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является скриптом Visual Basic Script. Имеет размер 2 149 байта.
Деструктивная активность
При запуске троянец копирует файл:
C:\Windows\system.ini
под именем:
C:\Windows\system.tmp
Далее троянец проверяет наличие файла:
C:\Windows\wininit.bak
Если такой существует, троянец копирует его под и именем:
C:\Windows\wininit.ini
Также троянец изменяет значения ключей системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\TypedURLs] "url1"="http://xy1234.sms.163.com" "url2"="http://xy1234.sms.163.com" "url3"="http://xy1234.sms.163.com" "url4"="http://xy1234.sms.163.com" "url5"="http://xy1234.sms.163.com" "url6"="http://xy1234.sms.163.com" "url7"="http://xy1234.sms.163.com" "url8"="http://xy1234.sms.163.com" "url9"="http://xy1234.sms.163.com" "url10"="http://xy1234.sms.163.com" "url11"="http://xy1234.sms.163.com" "url12"="http://xy1234.sms.163.com" "url13"="http://xy1234.sms.163.com" "url14"="http://xy1234.sms.163.com" [HKCU\SoftWare\Microsoft\Internet Explorer\Main] "Start Page"="http://mysms.163y.com" "First Home Page"="http://xy1234.sms.163.com"
Это приводит к изменению стартовой страницы Internet Explorer. После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра (как работать с реестром?):
- Изменить ключи системного реестра на исходные(как работать с реестром?):
[HKCU\Software\Microsoft\Internet Explorer\TypedURLs] "url1"="http://xy1234.sms.163.com" "url2"="http://xy1234.sms.163.com" "url3"="http://xy1234.sms.163.com" "url4"="http://xy1234.sms.163.com" "url5"="http://xy1234.sms.163.com" "url6"="http://xy1234.sms.163.com" "url7"="http://xy1234.sms.163.com" "url8"="http://xy1234.sms.163.com" "url9"="http://xy1234.sms.163.com" "url10"="http://xy1234.sms.163.com" "url11"="http://xy1234.sms.163.com" "url12"="http://xy1234.sms.163.com" "url13"="http://xy1234.sms.163.com" "url14"="http://xy1234.sms.163.com"
[HKCU\SoftWare\Microsoft\Internet Explorer\Main] "Start Page"="http://mysms.163y.com" "First Home Page"="http://xy1234.sms.163.com"
