Trojan.Win32.Avkillah.a

Материал из Total Malware Info

Содержание 1 Trojan.Win32.Avkillah.a 1.1 Инсталляция 1.2 Деструктивная активность 1.3 Рекомендации по удалению

Trojan.Win32.Avkillah.a

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 5 120 байта. Написана на C++.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SysEnum"="<полный_путь_к_файлу_троянца>"

Деструктивная активность

При запуске троянец в бесконечно цикле завершает все процессы из списка:

netstat.exe
tracert.exe
msconfig.exe
sysedit.exe
zapro.exe
zonealarm.exe
zatutor.exe
zauinst.exe
minilog.exe
vsmon.exe
navapw32.exe
lockdown.exe
ants.exe
fast.exe
guard.exe
update.exe
autoupdate.exe
tc.exe
spyxx.exe
clean.exe
pview95.exe
drwatson.exe
sfc.exe
msinfo32.exe
nsched32.exe
cleaner.exe
lsetup.exe
aupdate.exe
luall.exe
lucomserver.exe
luinit.exe
navw32.exe
navstub.exe
bootwarn.exe
qconsole.exe
qserver.exe
navdx.exe
undoboot.exe
cfgwiz.exe
moolive.exe
tca.exe
tcm.exe
tds-3.exe
ss3edit.exe
anti-trojan.exe
atcon.exe
atupdater.exe
atwatch.exe
wgfe95.exe
poproxy.exe
nprotect.exe
vsstat.exe
vshwin32.exe
ndd32.exe
mcagent.exe
mcupdate.exe
avpcc.exe
avpm.exe
watchdog.exe
taumon.exe
iamapp.exe
iamserv.exe
lockdown2000.exe
sphinx.exe
avconsol.exe
webscanx.exe
vsecomr.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avp.exe
pcciomon.exe
icload95.exe
icmon.exe
icsupp95.exe
icloadnt.exe
icsuppnt.exe
frw.exe
firewall.exe
antivirus.exe
blackice.exe
blackd.exe
wrctrl.exe
wradmin.exe
cleaner3.exe
pcfwallicon.exe
aplica32.exe
cfiadmin.exe
cfiaudit.exe
cfinet32.exe
cfinet.exe
tds2-98.exe
tds2-nt.exe
safeweb.exe
nvarch16.exe
vsmain.exe
persfw.exe
avsynmgr.exe
pavproxy.exe
mssmmc32.exe
trjscan.exe
defwatch.exe
vpc42.exe
rtvscn95.exe
vptray.exe
mgui.exe
apvxdwin.exe
fsav.exe
agentsvr.exe
nmain.exe
nisum.exe
nisserv.exe
taskmon.exe
rrguard.exe
rescue32.exe
rescue.exe
rshell.exe
apimonitor.exe
borg2.exe
W32dsm89.exe
cleanpc.exe

Если на зараженном компьютере установлена операционная система Windows 9x троянец скрывает свой процесс при помощи недокументированной функции "RegisterServiceProcess".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключ системного реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SysEnum"="<полный_путь_к_файлу_троянца>"