Trojan.Win32.AVKill.a

Материал из Total Malware Info

Trojan.Win32.AVKill.a Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 53 760 байт. Упакована UPX. Размер распакованного файла около 118 КБ. Язык написания Delphi.

Инсталляция

Добавляет ссылку на свой исполняемый файл в ключ системного реестра:

[HKLM\Software\Microsoft\Active Setup\Installed Components\{P9AAA3AB-B707-11d2-J0BD-KCOMF87A369E}]
"StubPath"="%путь_к_троянцу%"

Деструктивная активность

Получает список запущенных в зараженной системе процессов. Завершает процессы из списка:

APVXDWIN.EXE
AVPCC.EXE
NAVAPW32.EXE
GBPOLL.EXE
PAVPROXY.EXE
TAUMON.EXE
VbCons.exe
vccmserv.exe
PADMIN.EXE
NWTOOL16.EXE
NTVDM.EXE
CDP.EXE
GUARDDOG.EXE
AVGSERV9.EXE
Avgctrl.exe
vshwin32.exe
f-stopw.exe
AvkServ.exe
AckWin32.exe
VetTray.exe
Claw95.exe
navapw32.exe
Sweep95.exe
IOMon98.exe
Monitor.exe
avpm.exe
MSIMN.exe
PCCCLIENT.exe
PCCGUIDE.exe
DEFSCANGUI.exe
NPROTECT.exe
FSAVE32.exe
AVKPOP.exe
AVKSERVICE.exe
AVKWCL9.exe
FSAV32.exe
PROTECTX.exe
BLACKD.exe
BLACKICE.exe
FWENC.exe
SRWATCH.exe
MONSYSNT.exe
MONSYS32.exe
AHNSD.exe
JAMMER.exe
CSS 1631.exe
AVGSERV9
SCHEDAPP.exe
WINSFCM.exe

Повторяет сканирование циклически.

Рекомендации по удалению

1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключи системного реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Active Setup\Installed Components\{P9AAA3AB-B707-11d2-J0BD-KCOMF87A369E}]
"StubPath"="%путь_к_троянцу%"