Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 94208 байт. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела следующий файл:
%CommonProgramFiles%\msado320.tlb
Файл имеет размер 69632 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent.nccy.
Для извлеченного файла троянец устанавливает дату создания и модификации аналогичную как для каталога
%CommonProgramFiles%\
Далее троянец регистрирует в системе извлеченную библиотеку, для чего создает запись в системном реестре Windows:
[HKLM\System\CurrentControlSet\Services\
lanmanserver\parameters]
"ServiceDll"= "%CommonProgramFiles%\msado320.tlb"
После этого троянец перемещает свое оригинальное тело во временный каталог Windows и выполняет для него отложенное удаление.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:
%CommonProgramFiles%\msado320.tlb
3. Восстановить значение параметра "ServiceDll" в ключе системного реестра, которое имеет следующий вид:
[HKLM\System\CurrentControlSet\Services\lanmanserver\parameters]
"ServiceDll"= "%System%\srvsvc.dll"
Но доступ к знаниям открыт для всех