Ответы Mail
Компьютеры, Связь
Железо
Интернет
Мобильная связь
Мобильные устройства
Офисная техника
Программное обеспечение
Прочее компьютерное
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Trojan.Win32.Agent вирус или нет?
fbdhsrn nttrnnnnt
(55),
на голосовании
5 лет назад
Если это вирус, то что он делает?
Голосование за лучший ответ
Местный
(132193)
5 лет назад
Вам в названии уже говорят, что это вирус.
fbdhsrn nttrnnnntУченик (55)
5 лет назад
Да ну наху... Если вы не знали, то бывают ложные срабатывания, поэтому и спрашиваю
Местный
Искусственный Интеллект
(132193)
Файл называется Троян. Вам этого мало?
www www
(138516)
5 лет назад
Подгружает всякое УГ за которое платят его поставщики вирусному провайдеру
Sir Joe
(2848)
5 лет назад
Главная / Информационная безопасность / Описания вирусов / Trojan
Trojan.Win32.Agent.il
Rootkit: Нет
Синонимы: Trojan.Griven (DrWeb)
В октябре 2005 года наблюдался пик активности данной троянской программы. Данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы.
Сам троян имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т. е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т. н. Policies), например блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail <**email злоумышленника**> код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER"
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
Лечение
Методика лечения:
1. Пролечить систему AVZ, он должен найти и удалить файл даннйо троянской программы, должно удалиться минимум 2 файла в папке Windows. Файлы можно удалить вручную:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
2. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции восстановления и нажать кнопку "Выполнить отмеченные операции"
3. Перезагрузить компьютер. Сообщение в загрузке должно пропасть, блокировки вызова настроек и прочее должно восстановиться
4. Зайти любым менеджером диска (типа FAR) на системный диск и
4.1 Изменить атрибуты папок Windows и Program Files на нормальные (у них задан атрибут "скрытый")
4.2 Удалить пустые папки "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
5. Зайти в панель управления, там - в "Язык и региональные стандарты" - и там на первой закладке переключитьс с русского скажем на румынский и назад - это приведет к восстановлению региональных настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
В текущей версии трояна он некорректно копирует свои exe в систему - он полагает, что система находится на c:\windows - при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.
Источник: https://www.z-oleg.com/secur/virlist/vir1080.php
Trojan.Win32.Agent.il
Rootkit: Нет
Синонимы: Trojan.Griven (DrWeb)
В октябре 2005 года наблюдался пик активности данной троянской программы. Данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы.
Сам троян имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т. е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т. н. Policies), например блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail <**email злоумышленника**> код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER"
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
Лечение
Методика лечения:
1. Пролечить систему AVZ, он должен найти и удалить файл даннйо троянской программы, должно удалиться минимум 2 файла в папке Windows. Файлы можно удалить вручную:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
2. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции восстановления и нажать кнопку "Выполнить отмеченные операции"
3. Перезагрузить компьютер. Сообщение в загрузке должно пропасть, блокировки вызова настроек и прочее должно восстановиться
4. Зайти любым менеджером диска (типа FAR) на системный диск и
4.1 Изменить атрибуты папок Windows и Program Files на нормальные (у них задан атрибут "скрытый")
4.2 Удалить пустые папки "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
5. Зайти в панель управления, там - в "Язык и региональные стандарты" - и там на первой закладке переключитьс с русского скажем на румынский и назад - это приведет к восстановлению региональных настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
В текущей версии трояна он некорректно копирует свои exe в систему - он полагает, что система находится на c:\windows - при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.
Источник: https://www.z-oleg.com/secur/virlist/vir1080.php
???????? ????????
(184)
5 лет назад
это вообще ни о чем не говорит, антивирусы могут и на торрент ругаться.
надо знать откуда этот файл, кто его создатель и тд
надо знать откуда этот файл, кто его создатель и тд
Похожие вопросы