Злонамерените файлове се изтеглят от Trox Spaxe

След заразяване на компютри, Trox Trox се опитва да изтегли различни злонамерени файлове от различни уеб сървъри и след това ги стартира.

Основната цел на Spaxe е да изтегля различни зловредни програми на заразени компютри. Троянецът държи малко съобщение от дясната страна на лентата на задачите на Windows, което, когато потребителят щракне върху него, веднага започва да изтегля предварително зададените файлове.

Когато стартира Spaxe Trojan, той изпълнява следните действия:

1. Създайте файл с име svchosts.dll в системната директория на Windows.

2. Базата данни за регистрация
HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECF B10AB72}\InProcServer32
HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A2D9D3F0-8C2 A-2A1D-A376-1BECFB10AB72}\InProcServer32
добавя към вашите ключове
"По подразбиране" = "% System% \ svchosts.dll"
"По подразбиране" = "% System% \ svchosts.dll"
или
"По подразбиране" = "% AppData% \ Microsoft \ svchosts.dll"
“По подразбиране” = “% AppData% \ Microsoft \ svchosts.dll” стойности.

3. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Explorer \ SharedTaskScheduler
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ ShellServiceObject
добавя към вашите ключове
“{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}” = “Reload Browse” értéket.

4. Изтрийте следните ключове от системния регистър:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Explorer \ SharedTaskScheduler “Разширени функции”
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ ShellServiceObject “Разширени функции”

5. Изпълнете следните команди:
rundll32% AppData% \ Microsoft \ svchosts.dll, инсталирайте
rundll32% System% \ svchosts.dll, инсталирайте

6. Проверява дали на заразения компютър е инсталирано приложение, наречено “SpyAxe”. Ако не, изтеглете и инсталирайте.

7. В лентата на задачите на Windows покажете малко съобщение със следния текст:
„Вашият компютър е заразен!
Windows е открил инфекция на шпионски софтуер.
Препоръчително е да използвате специални антишпионски инструменти, за да предотвратите загуба на данни.
Windows вече ще изтегли и инсталира най-актуалния антишпионски софтуер за вас.
Щракнете тук, за да защитите компютъра си от шпионски софтуер. "

Ако потребителят щракне върху това съобщение, троянските файлове ще започнат да се изтеглят от Интернет.