Trojan.WinREG.StartPage

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.WinREG.StartPage Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является файлом реестра Windows (REG-файл). Имеет размер 933 байта.

Деструктивная активность

При запуске троянец изменяет настройки реестра:

  • Изменяет поисковик IE:
    • [HKСU\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.all********rch.com/ie/"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"=http://www.all********rch.com/ie/
"SearchURL"="http://www.all********rch.com/ie/"
  • Изменяет адрес поискового сервера, используемый по умолчанию:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.all********rch.com/ie/"
  • Изменяет страницу поиска:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Bar"="http://www.all********rch.com/ie/"
  • Выбирает дополнительную страницу поиска:
    • [HKLM\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.all********rch.com/ie/"

[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.all********rch.com/ie/"
  • Устанавливает окно IE по умолчанию:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window_Placement"="hex:2c,00,00,00,02,00,00,00,03,00,00,00,b8,0b,00,00,b8,0b,00,00,fc,ff,ff,ff,fc,ff,ff,ff,51,00,00,00,51,00,00,00,a9,02,00,00,e5,01,00,00"
  • Для решения проблем с отображением Toolbars или Address Bars Internet Explorer' троянец использует ветвь реестра
    • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

Рекомендации по удалению

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Изменить содержимое следующих ключей реестра на пустое:
    3. [HKCU\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.all********rch.com/ie/"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.all********rch.com/ie/"
"Search Page"="http://www.all********rch.com/ie/"
"Search Bar"="http://www.all********rch.com/ie/"
"SearchURL"="http://www.all********rch.com/ie/"

[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.all********rch.com/ie/"

[HKLM\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"=http://www.all********rch.com/ie/
  3. Изменить содержимое ключа реестра:
    4. [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window_Placement"="2c,00,00,00,02,00,00,00,03,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,9a,00,00,00,9a,00,00,00,ba,03,00,00,f2,02,00,00"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.WinREG.StartPage»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.