VirusClean: Удаление и лечение вирусов Рязань, установка и настройка антивирусных программ


Перейти к содержанию

Как удалить Trojan.Win32.VB.atj?

Статьи

Данная троянская программа активно размножается в сети Интернет уже длительное время. Эта программа
призвана выполнять различные деструктивные действия на компьютере пользователя. Сама программа по своей
сути – это приложение Windows (PE EXE - файл). Программа имеет размеры 49152 байта и написана на «Visual Basic».
Данная зловредная программа была обнаружена еще в октябре 2006 года.


Данный троян имеет следующие модификации:

Trojan.Win32.VB.a,

Trojan.Win32.VB.agb,

Trojan.Win32.VB.ami,

Trojan.Win32.VB.rl,

Trojan.Win32.VB.wf

Эта троянская программа проникает в корневой каталог диска «С» с именем «fun.exe.xls.exe». Точное расположение
каталога следующее: c:\fun.xls.exe.


Программа устанавливает для файлов атрибут «скрытый». При автоматическом запуске системы, данная троянская
программа прописывает файл «autorun.inf», со скриптом:


[AutoRun]

open=fun.xls.exe

shellexecute=fun.xls.exe

shell\Auto\command=fun.xls.exe

shell=Auto

[VVflagRun]

aabb=kdkfjdkfk1

Действия данного скрипта повторяются для всех дисков, которые находятся в системе. Троянская программа запускает файл
«fun.xls.exe», а затем копирует себя в каталог «Windows» создавая такие имена, как «msfun80.exe», «msime82.exe».


%System%\msfun80.exe

%System%\msime82.exe

%System%\algsrvs.exe

В скрипт добавляются следующие строки:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"MsServer"="msfun80.exe", а также

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.2"="msime82.exe"

Далее, управление передается в копию с именем «algsrvs.exe», в свою очередь эта копия осуществляет постоянную проверку
этих ключей автозапуска и производит их восстановление в случае удаления.


Если Вы заметили любое из подобных подозрительных действий, то следует удалить вредоносную программу. Удалить
троян можно следующим способом:


1. Используя «Диспетчер задач» необходимо завершить троянский процесс «algsrvs.exe». После этого, следует удалить
оригинальный файл троянской программы и затем удалить следующие файлы, созданные троянской программой:


%all_drives%\autorun.inf

c:\fun.xls.exe

%System%\msfun80.exe

%System%\msime82.exe

%System%\algsrvs.exe

Следующим этапом необходимо удалить ключи системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"MsServer"="msfun80.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.2"="msime82.exe".

Последний шаг – полная проверка компьютера с использованием антивирусной программы с обновленными базами данных.

Главная страница | Статьи | Наши услуги | Самолечение | Контакты | Он-лайн заявка | Карта сайта


Назад к содержанию | Назад к главному меню
Яндекс.Метрика