Trojan.BAT.KILLAV.BD

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• "%Program Files%\Malwarebytes' Anti-Malware\unins000.exe" /verysilent /suppressmsgboxes /norestart
• "%Program Files%\Malwarebytes' Anti-Malware\unins000.exe" /verysilent /suppressmsgboxes /norestart
• powershell.exe Add-MpPreference -ExclusionPath C:\, C:\Windows

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
C:\ = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
C:\Windows\ = 0

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinDefend
Start = 4

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

(Note: The default value data of the said registry entry is 0.)

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• acronisagent
• acrsch2svc
• Apache2
• BackupExecRPCService
• cbvscservice11
• cobianbackup 11
• dcevt32
• dcstor32
• firebirdguardiandefaultinstance
• hMailServer
• IASJet
• IBM Domino Diagnostics (CProgramFilesIBMDomino)
• IBM Domino Server (CProgramFilesIBMDominodata)
• ibmiasrw
• IISADMIN
• klactprx
• kladminserver
• klnagent
• klwebsrv
• ksnproxy
• Lotus Domino Server (LotusDominoData)
• Lotus Notes Single Logon
• mms
• mr2kserv
• MSExchangeADTopology
• MSExchangeFBA
• MSExchangeIS
• MSExchangeSA
• mssqlfdlauncher
• MSSQLServerADHelper100
• omsad
• PostgreSQL Database Server 8.0
• QBCFMonitorService
• QBPOSDBServiceV12
• QBVSS
• QuickBooksDB21
• QuickBooksDB22
• QuickBooksDB23
• QuickBooksDB24
• QuickBooksDB25
• QuickBooksDB26
• QuickBooksDB27
• QuickBooksDB28
• server Administrator
• ShadowProtectSvc
• Simply Accounting Database Connection Manager
• SPAdminV4
• SPSearch4
• SPTimerV4
• SPTraceV4
• SPUserCodeV4
• SPWriterV4
• SPXService
• sqlbrowser
• stc_endpt_svc
• StorageCraft ImageManager
• teamviewer
• VSNAPVSS
• wbengine
• WinDefend
• wrsvc

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• *SQL*
• agent*
• apach*
• avp*
• avpsus*
• b1*
• ba*
• bd2*
• be*
• be*
• bes10*
• black*
• cbservi*
• cbvscservi*
• db*
• hMailServer*
• IBM*
• Kaspersky Endpoint Security 10 for Windows*
• Kaspersky Seamless Update Service*
• Kaspersky Security Center Network Agent*
• Kaspersky Security Center Vulnerability Assessment*
• klnagent*
• mysql*
• nservice.exe
• nslsvice.exe
• ntrtscan.exe
• oracle*
• pg_ctl.exe
• postg*
• QB*
• sage*
• sap*
• sql*
• store.exe
• team*
• vapm*
• vee*
• veea*
• wbengine*
• wrsa.exe