Технические детали

Троянская программа, выполняющая деструктивные воздействия на индивидуальном индивидуальном индивидуальном персональном компьютере пользователя. является динамической библиотекой Windows (PE-DLL файл). Имеет размеры 9728 байт. написана на C++.

Деструктивная активность

Вредоносная библиотека экспортирует функцию с именем "testall", вызов которой приводит к выполнению описанных в последствии действий.

Если в системе запущен процесс "avp.exe", то троянец пытается выгрузить из адресного пространства данного процесса модули с именами:

kavbase.kdl
webav.kdl
vlns.kdl
mark.kdl
klavemu.kdl
kjim.kdl

Далее троянец отменяет автоматический запуск службы "avp", запуская команду:
sc config avp start= disabled
Затем при помощи утилиты "taskkill.exe" процесс "avp.exe" завершается:
taskkill.exe /f /t /im avp.exe
После этого троянец осуществляет в системе отыскание настолько как окончание соответствующих процессов:
avp.exe
safeboxTray.exe
360Safebox.exe
360tray.exe
antiarp.exe
ekrn.exe
RsAgent.exe
mfeann.exe
egui.exe
RavMon.exe
RavMonD.exe
RavTask.exe
CCenter.exe
RavStub.exe
RsTray.exe
ScanFrm.exe
Rav.exe
AgentSvr.exe
CCenter.exe
QQDoctor.exe
McProxy.exe
mcshield.exe
rsnetsvr.exe
naPrdMgr.exe
MpfSrv.exe
MPSVC.exe
MPSVC1.exe
KISSvc.exe
KPfwSvc.exe
kmailmon.exe
KavStart.exe
engineserver.exe
KPFW32.exe
KVSrvXP.exe
ccSetMgr.exe
ccEvtMgr.exe
defwatch.exe
rtvscan.exe
ccapp.exe
vptray.exe
mcupdmgr.exe
mfevtps.exe
mcsysmon.exe
mcmscsvc.exe
mcnasvc.exe
mcagent.exe
vstskmgr.exe
FrameworkService.exe
mcshell.exe
mcinsupd.exe
bdagent.exe
livesrv.exe
vsserv.exe
xcommsvr.exe
ccSvcHst.exe
SHSTAT.exe
McTray.exe
udaterui.exe
KAVStart.exe
Uplive.exe
KWatch.exe
QQDoctorRtp.exe
DrUpdate.exe
rfwsrv.exe
RegGuide.exe
MPSVC2.exe
MPMon.exe
LiveUpdate360.exe
rssafety.exe
KABackReport.exe
KSWebShield.exe
360delays.exe
qutmserv.exe
kaccore.exe
360SoftMgrSvc.exe
360realpro.exe
DSMain.exe
360sd.exe
360rp.exe
ZhuDongFangYu.exe
360safe.exe

При предоставленном в случае нахождения процессов:
360rp.exe
ravmond.exe

троянец останавливает настолько как удаляет службы:

360rp
rsravmon
 
В случае найденного процесса "ekrn.exe", удалятся служба "ekrn" методикой запуска команды:
cmd /c sc delete ekrn
Если найден процесс "avp.exe", выполняются команды:
cmd /c sc config avp start= disabled
taskkill.exe /im avp.exe /f

Таким образом, отменяется автоматический запуск службы "avp" настолько как завершается процесс "avp.exe".
После этого троянец завершает свою работу.



Рекомендации по удалению
	
Если ваш персональный компьютер закончить изготавливать был защищен антивирусом настолько как оказался заражен данной вредоносной программой, то для её удаления надо реализовать следующие действия:
<>
1.      удалить своеобразный файл троянца (его благоволение на зараженном индивидуальном индивидуальном индивидуальном персональном компьютере зависит от способа, которым программа попала на компьютер).
2.      принести полную проверка индивидуального персонального компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
[Description: Snegursky Alexander, 4th of July, 2011]
MD5: EF9425F0CBCBCD95B3400B46CB7B70E3
SHA1: F5EBAE2C4112DBA1106995D7679ECC71E3CA6985