Технические детали
Потенциально нежелательная программа. Программа является приложением Windows (PE DLL-файл). Имеет размер 150976 байт. Написана на C++.
Деструктивная активность
После активации программа устанавливает компоненты панели инструментов "Shopper Reports" для Internet Explorer:
Компоненты представляют собой Internet Explorer Browser Helper Object (BHO), стартующие при запуске Internet Explorer:
При регистрации BHO в системе создаются следующие ключи реестра:
[HKCR/CLSID/{20EA9658-6BC3-4599-A87D-6371FE9295FC}]
[HKCR/CLSID/{20EA9658-6BC3-4599-A87D-6371FE9295FC}/InprocServer32]
"(default)" = "Путь к оригинальному файлу программы"
[HKCR/CLSID/{100EB1FD-D03E-47FD-81F3-EE91287F9465}]
[HKCR/CLSID/{A16AD1E9-F69A-45AF-9462-B1C286708842}]
[HKCR/CLSID/{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}]
[HKCR/CLSID/{C9CCBB35-D123-4A31-AFFC-9B2933132116}]
[HKCR/CLSID/{D785C393-A164-8635-93C3-85D764A13586}]
[HKCR/ShoppingReport.HbAx]
[HKCR/ShoppingReport.HbAx.1]
[HKCR/ShoppingReport.HbInfoBand]
[HKCR/ShoppingReport.HbInfoBand.1]
[HKCR/ShoppingReport.IEButton]
[HKCR/ShoppingReport.IEButton]A
[HKCR/ShoppingReport.IEButtonA.1]
[HKCR/ShoppingReport.IEButton.1]
[HKCR/ShoppingReport.RprtCtrl]
[HKCR/ShoppingReport.RprtCtrl.1]
[HKLM/Software/ShoppingReport]
[HKLM/Software/Classes/Interface/{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}]
[HKLM/Software/Microsoft/Internet Explorer/Extensions/{C5428486-50A0-4a02-9D20-520B59A9F9B2}]
[HKLM/Software/Microsoft/Internet Explorer/Extensions/{C5428486-50A0-4a02-9D20-520B59A9F9B3}]
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{100EB1FD-D03E-47FD-81F3-EE91287F9465}]
Файлы с настройками программы хранятся в переменной окружения %APPDATA% текщего пользователя Windows:
%AppData%/ShoppingReport/cs
Программа может загружать обновления со следующего Интернет - ресурса:
http://partners.shopperreports.com
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить ключи системного реестра:
[HKCR/CLSID/{20EA9658-6BC3-4599-A87D-6371FE9295FC}]
[HKCR/CLSID/{100EB1FD-D03E-47FD-81F3-EE91287F9465}]
[HKCR/CLSID/{A16AD1E9-F69A-45AF-9462-B1C286708842}]
[HKCR/CLSID/{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}]
[HKCR/CLSID/{C9CCBB35-D123-4A31-AFFC-9B2933132116}]
[HKCR/CLSID/{D785C393-A164-8635-93C3-85D764A13586}]
[HKCR/ShoppingReport.HbAx]
[HKCR/ShoppingReport.HbAx.1]
[HKCR/ShoppingReport.HbInfoBand]
[HKCR/ShoppingReport.HbInfoBand.1]
[HKCR/ShoppingReport.IEButton]
[HKCR/ShoppingReport.IEButton]A
[HKCR/ShoppingReport.IEButtonA.1]
[HKCR/ShoppingReport.IEButton.1]
[HKCR/ShoppingReport.RprtCtrl]
[HKCR/ShoppingReport.RprtCtrl.1]
[HKLM/Software/ShoppingReport]
[HKLM/Software/Classes/Interface/{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}]
[HKLM/Software/Microsoft/Internet Explorer/Extensions/{C5428486-50A0-4a02-9D20-520B59A9F9B2}]
[HKLM/Software/Microsoft/Internet Explorer/Extensions/{C5428486-50A0-4a02-9D20-520B59A9F9B3}]
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser HelperObjects/{100EB1FD-D03E- 47FD-81F3-EE91287F9465}]
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить каталог:
%AppData%/ShoppingReport/cs/
- Очистить каталог Temporary Internet Files
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
