Данная троянская программа была обнаружена в сети Интернет 16 сентября 2009 года. Основная задача этой вредоносной троянской программы заключается в том, чтобы производить скачивание различного программного обеспечения на компьютер, без ведома пользователя. После скачивания программы, троян запускает команду на ее исполнение. Эта программа представляет собой приложение Windows (PE EXE - файл). Программа имеет небольшой размер в 38400 байт и написана на C++.
Инсталляция программы начинается с копирования тела вируса в системный каталог «Windows» под именем:
%System%Ir32_a.exe:
Следом за данным действием программа удаляет оригинальный файл. Чтобы осуществлять автоматический запуск в операционной системе, троянская программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CuentVersion\Winlogon]
"Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe
Внедрившись в компьютер пользователя, данная программа выполняет деструктивную активность. Прежде всего, троянец производит отправку запроса на сайт злоумышленника:
http://www.***blog5566.com/images/yukor.gif
http://www.***blog5566.com/images/yukor.jpg
http://www.***blog5566.com/images/yukor.bmp
После этого, троянская программа получает файл с различными ссылками. Ссылки необходимо скачать. Файл троянской программы сохраняется в корневой каталог диска «С» и имеет имя «tmp.dat».
c:tmp.dat
При этом все ссылки программы сохраняются во временном каталоге файлов интернет под оригинальными именами, а далее запускаются на выполнение.
Для удаления данной троянской программы необходимо произвести следующие манипуляции:
1. Произвести удаление оригинального файла троянской программы в том случае, если троянская программа не удалит сама себя.
2. Следующий этап – это удаление копии троянской программы:
%System%\Ir32_a.exe
3. Произвести очистку каталога «Temporary Internet Files», который содержит инфицированные файлы.
4. Осуществить изменение ключей системного реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe
на
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = C:\WINDOWS\system32\userinit.exe
5. На последнем этапе необходимо провести полную проверку компьютера с использованием мощной антивирусной программы.
Компьютерная помощь с выездом на дом!
Схватила компьютерный вирус на стационарный компьютер. Своими силами не смогла справиться, пришлось вызывать специалистов с компании ХелпЮзер. Сделали всё быстро и оперативно!
Снятие пароля учётной записи Windows XP
Забыла пароль на домашнем компьютере или вирус его поменял, так и не поняла. Вызвала спеца из компнии ХелпЮзер, который быстренько заменил пароль на другой. Спасибо за оперативность!
Удаление смс вируса
Поймала смс вирус, наверное при скачивании программ с интернета. Компьютер полностью за блокировался, думала всё!!! У меня там стоит 1С, нужно было сдавать отчёты. Позвонила в компанию ХелпЮзер, приехал мастер Артём и всё быстро мне наладил, огромное человеческое спасибо ему за это.
 | ASROCK H170M-ITX/DL НА ДВУХСЛОЙНЫХ MOSFET-ТРАНЗИСТОРАХ Подробнее |
 | Консолидированная выручка "Яндекса" выросла на 18% Подробнее |
ICQ консультант