Trojan.Win32.Agent.sr
Материал из Total Malware Info
Trojan.Win32.Agent.sr
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 3 584 байта. Написана на C++.
Деструктивная активность
При запуске троянец изменяет ключи системного реестра:
[HKCR\.exe] "(Default)"="psyc" [HKCR\.bat] "(Default)"="psyc" [HKCR\.ini] "(Default)"="psyc" [HKCR\.inf] "(Default)"="psyc" [HKCR\.reg] "(Default)"="psyc" [HKLM\SYSTEM\CurrentControlSet\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" [HKLM\SYSTEM\ControlSet002\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" [HKLM\SYSTEM\ControlSet001\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" [HKLM\SYSTEM\ControlSet003\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" [HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR] "ImagePath"="psyc" [HKLM\SYSTEM\ControlSet002\Services\USBSTOR] "ImagePath"="psyc" [HKLM\SYSTEM\ControlSet001\Services\USBSTOR] "ImagePath"="psyc" [HKLM\SYSTEM\ControlSet003\Services\USBSTOR] "ImagePath"="psyc"
Это приводит к тому, что пользователь не может запускать файлы с расширениями: «.exe», «.bat», «.ini», «.inf» и «.reg». Троянец удаляет файлы:
C:\Windows\inf\usb.inf C:\Windows\repair\config.nt C:\Windows\repair\system C:\Windows\repair\secsetup.inf" C:\Windows\repair\autoexec.nt
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Изменить ключи системного реестра (как работать с реестром?). Для того чтобы запустить «Редактор реестра» необходимо изменить расширение файла "regedit.exe" на ".com":
- Изменить расширение файла "regedit.com" на расширение ".exe".
[HKCR\.exe] "(Default)"="psyc" на [HKCR\.exe] "(Default)"="exefile" [HKCR\.bat] "(Default)"="psyc" на [HKCR\.bat] "(Default)"="batfile" [HKCR\.ini] "(Default)"="psyc" на [HKCR\.ini] "(Default)"="inifile" [HKCR\.inf] "(Default)"="psyc" на [HKCR\.inf] "(Default)"="inffile" [HKCR\.reg] "(Default)"="psyc" на [HKCR\.reg] "(Default)"="regfile" [HKLM\SYSTEM\CurrentControlSet\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" на [HKLM\SYSTEM\CurrentControlSet\Control\Windows] "SystemDirectory"="%SystemRoot%\system32" "Directory"="%SystemRoot%" [HKLM\SYSTEM\ControlSet002\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" на [HKLM\SYSTEM\ControlSet002\Control\Windows] "SystemDirectory"="%SystemRoot%\system32" "Directory"="%SystemRoot%" [HKLM\SYSTEM\ControlSet001\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" на [HKLM\SYSTEM\ControlSet001\Control\Windows] "SystemDirectory"="%SystemRoot%\system32" "Directory"="%SystemRoot%" [HKLM\SYSTEM\ControlSet003\Control\Windows] "SystemDirectory"="psyc" "Directory"="psyc" на [HKLM\SYSTEM\ControlSet003\Control\Windows] "SystemDirectory"="%SystemRoot%\system32" "Directory"="%SystemRoot%" [HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR] "ImagePath"="psyc" на [HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR] "ImagePath"="system32\DRIVERS\USBSTOR.SYS" [HKLM\SYSTEM\ControlSet002\Services\USBSTOR] "ImagePath"="psyc" на [HKLM\SYSTEM\ControlSet002\Services\USBSTOR] "ImagePath"="system32\DRIVERS\USBSTOR.SYS" [HKLM\SYSTEM\ControlSet001\Services\USBSTOR] "ImagePath"="psyc" на [HKLM\SYSTEM\ControlSet001\Services\USBSTOR] "ImagePath"="system32\DRIVERS\USBSTOR.SYS" [HKLM\SYSTEM\ControlSet003\Services\USBSTOR] "ImagePath"="psyc" на [HKLM\SYSTEM\ControlSet003\Services\USBSTOR] "ImagePath"="system32\DRIVERS\USBSTOR.SYS"
