VirusClean: Удаление и лечение вирусов Рязань, установка и настройка антивирусных программ


Перейти к содержанию

Как удалить Trojan.Win32.Agent.byvk?

Статьи

В апреле месяце 2009 года был обнаружен новый вирус. Вирус представляет собой троянскую программу, которая
осуществляет различные деструктивные действия на компьютере пользователя. Данная программа, как и многие другие
троянские программы, представляет собой приложение «Windows», которое упаковано неизвестным упаковщиком и
имеет размер 39936 байт. Общий размер файла составляет 67 Кб. Программа написана на языке C++.


При внедрении на компьютер пользователя программа создает следующую деструктивную активность:

Троянская программа Trojan.Win32.Agent.byvk прописывает во временном каталоге «Windows» файл под названием
"clk.nls" (где — случайный набор цифр):


%Temp%\clk.nls.

Общий файл имеет размер 2304 байта и определяется различными антивирусными программами, как троян
«Rootkit.Win32.Tiny.cr». После этого, троянская программа производит сканирование системного каталога «Windows»,
а затем находит случайный файл. Из имени данного файла программа получает 2 первых символа. Троян также добавляет
к символам случайное число, расширение «sys». После этого, вирус копирует извлеченный файл под именем:


%System%\at1394.sys

Следующий этап действий троянца – это добавление записи в ключ сервисов системного реестра:

[HKLM\System\CurrentControlSet\Services\at1394]

Вирус прописывает во временном каталоге «Windows» файл с именем:

"clk.nls" (где — случайный набор цифр):

%Temp%\clk.nls

Созданный файл «весит» 20992 байта и определяется новыми антивирусами. Вирус носит название -
Trojan.Win32.Obfuscated.aeob. Троянская программа производит сканирование системного каталога «Windows»
и производит выбор случайного файла. Из имени файла данная вирусная программа получает 2 первых символа
и прибавляет к символам случайное число с расширением «sys». Далее вирус копирует файл, создавая имя, подобное этому:
%System%\6to4v32.dll


При каждом новом запуске операционной системы, троянская программа добавляет запись в ключ сервисов системного
реестра. [HKLM\System\CurrentControlSet\Services\6to4]


Далее вирус заканчивает работу, а после производит управление оригинального исполняемого файла.

В том случае, если Ваш компьютер все же оказался заражен «троянцем» рекомендуется последовательно произвести
следующие операции: Во – первых, необходимо удалить файл троянской программы.


Во – вторых, следует удалить файлы, которые созданы троянской программой:

1. %System%\at1394.sys

2. %System%\6to4v32.dll

После этого, необходимо удалить ключи системного реестра.

[HKLM\System\CurrentControlSet\Services\at1394]

[HKLM\System\CurrentControlSet\Services\6to4]

Последний этап – это полная проверка компьютера с обновленными антивирусными базами.

Главная страница | Статьи | Наши услуги | Самолечение | Контакты | Он-лайн заявка | Карта сайта


Назад к содержанию | Назад к главному меню
Яндекс.Метрика