Trojan.Win32.StartPage.og
Материал из Total Malware Info
Содержание |
Trojan.Win32.StartPage.og
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 32 768 байт. Упакована UPX. Распакованный размер – около 160 КБ. Написана на C++.
Инсталляция
Троянец копирует свой исполняемый файл под именем:
C:\Windows\System32\winapig.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winstart"="C:\Windows\System32\winapig.exe"
Деструктивная активность
При запуске троянец каждые 60 секунд устанавливает следующие значения ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix] "(Default)"="http://www.m*******t.com/start.php?url=" [HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes] "www"="http://www.m*******t.com/start.php?url="
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи ("Диспетчера задач") завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файл:
C:\Windows\System32\winapig.exe
Удалить ключ системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winstart"="C:\Windows\System32\winapig.exe"
Изменить значения ключей системного реестра на исходные(как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix] "(Default)"="http://www.m*******t.com/start.php?url=" на "(Default)"="http://" [HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes] "www"="http://www.m*******t.com/start.php?url=" на [HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes] "www"="http://"
