Как скрыть вирус от windows defender

Время на прочтение4 мин

Количество просмотров31K

Картинка с сайта: habr.com

Всем привет. Сегодня рассмотрим вариант запуска mimikatz на Windows 10. Mimikatz — инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлечь аутентификационные данные залогинившегося в системе пользователя в открытом виде.

В ходе пентеста полезно иметь штуку, которая сдампит пароли юзеров, но сейчас даже встроенный в винду стандартный Windows Defender становится проблемой и может помешать нашим грандиозным планам.

Замечу, что этот способ подходит и для других антивирусных продуктов (Virustotal ДО и ПОСЛЕ тоже так считает), которые проводят статичный анализ бинарников по сигнатурам.
Так что хоть и данный способ вряд ли поможет вам против EDR решений, но легко поможет обойти Windows Defender.

Раньше его можно было обойти изменением слов в файле с mimikatz на mimidogz, удалением пары строк в метаданных и баннеров. Сейчас же это стало сложнее, но все же возможно.

За идею всего этого действа выражаю благодарность человеку с ником ippsec.

В данной статье мы будем использовать:

• Windows 10 с включенным Windows Defender (с обновленными базами)
• Mimikatz
• Visual Studio
• HxD (hex редактор)

Копируя mimikatz на компьютер жертвы, мы ожидаемо видим такой алерт.

Картинка с сайта: habr.com

Далее мы проведем серию манипуляций, чтобы Defender перестал видеть тут угрозу.

Первым делом, найдем и заменим слова mimikatz. Заменим mimikatz например на thunt (заменить можно на что угодно), а MIMIKATZ на THUNT. Выглядит это примерно вот так.

Картинка с сайта: habr.com

Следом отредактируем в Visual Studio файл mimikatz\mimikatz\mimikatz.rc (который после нашей замены теперь thunt.rc), заменяя mimikatz и gentilkiwi на что угодно, также не забудем заменить mimikatz.ico на любую другую иконку. Жмем «пересобрать решение» (или rebuild solution) и получаем нашу обновленную версию mimikatz. Скопируем на компьютер жертвы, иии…алерт. Давайте узнаем, на что срабатывает Defender. Самый простой способ это копировать бинарник с разным размером до первого срабатывания антивируса.

Для начала скопируем половину и скопируем на машину с Windows 10.

head –c 600000 mimikatz.exe > hunt.exe

Defender молчит, уже неплохо. Экспериментируя, найдем первое срабатывание. У меня это выглядело так:

head -c 900000 mimikatz.exe > hunt.exe – не сработал
head -c 950000 mimikatz.exe > hunt.exe –  сработал 
head -c 920000 mimikatz.exe > hunt.exe – не сработал
head -c 930000 mimikatz.exe > hunt.exe – не сработал
head -c 940000 mimikatz.exe > hunt.exe –  сработал 
head -c 935000 mimikatz.exe > hunt.exe – не сработал
head -c 937000 mimikatz.exe > hunt.exe –  сработал
head -c 936000 mimikatz.exe > hunt.exe – не сработал
head -c 936500 mimikatz.exe > hunt.exe –  сработал
head -c 936400 mimikatz.exe > hunt.exe –  сработал
head -c 936300 mimikatz.exe > hunt.exe –  сработал 
head -c 936200 mimikatz.exe > hunt.exe – не сработал

Откроем hunt.exe в hex редакторе и смотрим, на что может сработать Defender. Глаз уцепился за строку KiwiAndRegistryTools.

Картинка с сайта: habr.com

Поиграемся со случайным капсом — стало KiWIAnDReGiSTrYToOlS, сохраним и скопируем. Тишина, а это значит, что мы угадали. Теперь найдем все вхождения этих строк в коде, заменим и пересоберем наш проект. Для проверки выполним head -c 936300 mimikatz.exe > hunt.exe. В прошлый раз Defender сработал, сейчас нет. Движемся дальше.

Таким не хитрым способом, добавляя все больше строк в наш hunt.exe, были обнаружены слова-триггеры — wdigest.dll, isBase64InterceptOutput, isBase64InterceptInput, multirdp, logonPasswords, credman. Меняя их случайным капсом, я добивался того, что Defender перестал на них ругаться.
Но не может же быть все так легко, подумал Defender и сработал на функции, которые импортируются и чувствительны к регистру. Это функции, которые вызываются из библиотеки netapi32.dll.

• I_NetServerAuthenticate2
• I_NetServerReqChallenge
• I_NetServerTrustPasswordsGet

Если мы взглянем на netapi32.dll (C:\windows\system32\netapi32.dll), то мы увидим, что каждой функции присвоен номер.

Картинка с сайта: habr.com

Изменим вызов функции с вида
windows.netapi32.I_NetServerTrustPasswordsGet(args)
на
windows.netapi32[62](args)
Для этого нам надо заменить mimikatz\lib\x64\netapi32.min.lib. Создадим файл netapi32.def и запишем туда следующие строки:

LIBRARY netapi32.dll
EXPORTS
  I_NetServerAuthenticate2 @ 59
  I_NetServerReqChallenge @ 65
  I_NetServerTrustPasswordsGet @ 62

Сохраняем и выполним команду (не забудьте на всякий случай сделать бэкап оригинала netapi32.min.lib)

lib /DEF:netapi32.def /OUT:netapi32.min.lib

В очередной раз пересоберем проект и скопируем то, что у нас получилось. Defender молчит. Запустим получившейся mimikatz с правами администратора.

Картинка с сайта: habr.com

Успех. Таким образом mimikatz запущен и Windows Defender не сработал, чего мы и добивались. Пароли, явки и хеши выданы.

Подводные камни

Ожидание:

* Username : thunt
* Domain : DESKTOP-JJRBJJA
* Password : Xp3#2!^&qrizc

Реальность:

* Username : thunt
* Domain : DESKTOP-JJRBJJA
* Password : (null)

Ситуация в жизни несколько отличается от лабораторных условий. Возможно, для просмотра пароля вам придется поработать с реестром. Например, включить или создать ключ UseLogonCredential (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest). Но и с этим могут возникнуть проблемы, т.к. при перезагрузке ключи могут выставляться обратно.

Может быть и ещё хуже, если в случае запуска на одной из последних версии Windows 10, вместо пароля в plain-text вы увидите вот такое:

* Password : _TBAL_{68EDDCF5-0AEB-4C28-A770-AF5302ECA3C9}

Все дело в механизме TBAL, который является наследником Automatic Restart Sign-On (ARSO). Теперь, когда запрашивается TBAL, lsasrv проверяет является ли аккаунт локальным или MS аккаунтом, и исходя из этого, использует msv1_0 или cloudAP, чтобы сохранить все необходимое для возобновления сессии пользователя. После чего механизму autologon выставляется захардкоженный пароль _TBAL_{68EDDCF5-0AEB-4C28-A770-AF5302ECA3C9}.

Тем не менее в лабораторных условиях мы получили пароль пользователя, а в боевой обстановке как минимум можем получить хеши.

Довольно часто Защитник Windows может мешать комфортной работе пользователя за компьютером — некоторые файлы и папки могут вызывать у встроенного в Windows 10 антивируса недоверие. Обычно такого рода контент моментально удаляется, но, конечно, данный антивирус, как и любой другой, можно деактивировать. К счастью, есть сразу три способа, каждый из которых весьма прост и не требует от пользователя особых познаний, навыков или опыта работы в этом направлении.

Как отключить Защитник Windows в новых версиях системы, начиная со сборки 2004

В новых версиях Windows 10 разработчики усилили безопасность Защитника Windows, из-за чего стандартные способы его отключения, которые работали раньше, теперь бесполезны — встроенный антивирус со временем сам включается. Впрочем, энтузиасты уже нашли способ отключить его навсегда.

Инструкция простая:

• скачайте файл по ссылке (либо с GitHub, но в этом случае вам придётся вручную экспортировать файл windefend-disable.bat);
• кликните по нему правой клавишей мыши;
• выберите пункт «Запустить от имени администратора»;
• дождитесь окончания процедуры (пара секунд), нажмите любую клавишу на клавиатуре;
• снова запустите файл от имени администратора и дождитесь его завершения, после чего нажмите любую клавишу. 

Как отключить Защитник Windows через интерфейс

Наиболее простым способом выключения Защитника Windows 10 является отключение защиты в режиме реального времени через интерфейс антивируса.

Пошаговая инструкция:

1. откройте список скрываемых значков в правом нижнем углу экрана;

2. щёлкните правой клавишей мыши по иконке «Безопасность Windows» в трее;

3. выберите пункт «Просмотр панели мониторинга безопасности»; 
4. перейдите в пункт меню «Защита от вирусов и угроз»;
   

   Картинка с сайта: trashbox.ru

5. нажмите на кнопку «Управление настройками» в пункте «Параметры защиты от вирусов и угроз»;
   

   Картинка с сайта: trashbox.ru

6. в открывшемся меню переставьте все переключатели на «Откл.».
   

   Картинка с сайта: trashbox.ru

Теперь Защитник Windows 10 отключён. Но, стоит отметить, что периодически операционная система Windows 10 всё же может в автоматическом режиме запускать некоторые компоненты антивирусной защиты, плюс после обновления системы Защитник может быть полностью включён. Этот вариант стоит использовать в том случае, если последующие способы кажутся вам слишком сложными.

Как отключить Защитник Windows навсегда через редактор групповой политики

В версиях операционной системы Windows 10 Pro и Enterprise имеется функция редактора групповой политики, благодаря которой можно выполнять массу полезных действий. Кроме того, благодаря данному редактору можно отключить Защитник Windows, выполнив несколько весьма простых шагов.

Пошаговая инструкция:

1. на клавиатуре нажмите комбинацию клавиш Windows + R, после чего введите в поле gpedit.msc и нажмите Enter;
   

   Картинка с сайта: trashbox.ru

2. перейдите по пути: Политика «Локальный компьютер» — Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Антивирусная программа Windows Defender;
3. в правом окне выберите пункт «Выключить антивирусную программу Microsoft Defender», после чего в открывшемся окне выберите пункт «Включено» и нажмите кнопку ОК;
   

   Картинка с сайта: trashbox.ru

4. теперь нужно открыть пункт меню в «Антивирусная программа Microsoft Defender» — «Защита в режиме реального времени»;
   

   Картинка с сайта: trashbox.ru

5. в правом окне выберите пункт «Включить наблюдение за поведением», выберите опцию «Отключено», нажмите ОК;
6. в этом же меню выберите пункт «Проверять все загруженные файлы и вложения», смените параметр на «Отключено», нажмите ОК;
7. повторите процедуру с пунктами «Отслеживать активность программ и файлов на компьютере» и «Включить проверку процессов, если включена защита реального времени» с параметром «Отключено»;
8. после внесения изменений откройте меню Пуск, введите «Командная строка», в правом окне нажмите на кнопку запуска от имени администратора;
   

   Картинка с сайта: trashbox.ru

9. введите команду gpupdate.exe /force и нажмите Enter;
   

   Картинка с сайта: trashbox.ru

10. перезагрузите компьютер.

После перезагрузки антивирусная программа Windows Defender полностью прекратит свою работу. Чтобы запустить её обратно, нужно выполнить те же шаги, только вместо «Отключено» поставить «Не задано».

Как отключить Защитник Windows навсегда через реестр

К сожалению, редактора групповых политик в редакции Windows 10 Домашняя нет, так что воспользоваться вышеописанным методом в данном случае не выйдет. С другой стороны, эту же процедуру можно провести при помощи редактора реестра, который доступен во всех редакциях операционной системы.

Пошаговая инструкция:

1. на клавиатуре нажмите комбинацию клавиш Windows + R, после чего введите в поле regedit и нажмите Enter;
   

   Картинка с сайта: trashbox.ru

2. перейдите по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender (адрес можно скопировать и вставить в адресную строку);
3. нажмите правой клавишей мыши по папке «Windows Defender», после чего выберите пункт «Создать» и параметр DWORD (32 бита);
   

   Картинка с сайта: trashbox.ru

4. введите название параметра «DisableAntiSpyware» и нажмите Enter;
5. два раза кликните левой клавишей мыши по созданному файлу, после чего введите значение «1» и нажмите ОК;
   

   Картинка с сайта: trashbox.ru

6. повторно нажмите правой клавишей мыши на папку «Windows Defender», выберите пункт «Создать» и параметр «Раздел»;
7. введите название раздела «Real-Time Protection» и нажмите Enter;
   

   Картинка с сайта: trashbox.ru

8. нажмите правой клавишей мыши на раздел «Real-Time Protection», после чего в произвольном порядке создайте параметры DWORD (32 бита) с названиями: DisableBehaviorMonitoring, DisableOnAccessProtection, DisableScanOnRealtimeEnable и DisableIOAVProtection;
9. для каждого из созданных в папке «Real-Time Protection» параметров задайте значение «1»;
10. перезагрузите компьютер. 

После перезагрузки компьютера Защитник Windows больше не будет скранировать систему, обнаруживая вредоносные файлы и программы. Чтобы включить Защитник Windows, пользователю нужно вновь запустить редактор реестра, перейти по указанному выше адресу, после чего удалить «DisableAntiSpyware» и раздел «Real-Time Protection»

Как отключить Центр безопасности Защитника Windows

Стоит отметить, что даже если пользователь воспользовался одним из представленных способов отключения антивируса Защитник Windows, иконка данного компонента всё равно будет отображаться в панели задач. При желании, если данная иконка пользователю мешает, её тоже можно убрать.

Пошаговая инструкция:

1. откройте Диспетчер задач (ПКМ по меню Пуск или Ctrl+Alt+Del);
2. перейдите во вкладку «Автозагрузка»;
3. нажмите левой кнопкой мыши на Windows Security notification icon и в правом нижнем углу нажмите на опцию «Отключить».

Картинка с сайта: trashbox.ru

Как добавить исключения в Защитника Windows: файл, папку, тип файла или процесс

К сожалению, как бы хорошо не работал Защитник Windows, но изредка он всё же даёт сбои — может удалять файлы, восприняв их вредоносными, или даже целые папки. Естественно, разработчики предусмотрели это, добавив функцию исключений, которая позволяет защитить определённый контент от удаления в том случае, если его программа посчитала опасной для вашего компьютера. Вот только «спрятали» функцию достаточно глубоко, чтобы найти её самостоятельно было крайне сложно. Но, конечно же, эта проблема тоже решаема.

Пошаговая инструкция:

1. откройте список скрываемых значков в правом нижнем углу экрана;

2. щёлкните правой клавишей мыши по иконке «Безопасность Windows» в трее;

3. выберите пункт «Просмотр панели мониторинга безопасности»; 
4. перейдите в пункт меню «Защита от вирусов и угроз»;
   

   Картинка с сайта: trashbox.ru

5. нажмите на кнопку «Управление настройками» в пункте «Параметры защиты от вирусов и угроз»;
   

   Картинка с сайта: trashbox.ru

6. в меню настройки защиты от вирусов и угроз нужно пролистать до «Исключения»;
   

   Картинка с сайта: trashbox.ru

7. в данном пункте нажмите на кнопку «Добавление и удаление исключений»;
   
8. откроется окно, в котором присутствует иконка + и надпись «Добавить исключение»;
   

   Картинка с сайта: trashbox.ru

9. нажимаете на неё, появляется выпадающее меню, в котором можно выбрать файл, папку, тип файла или процесс;

10. выбираете нужный пункт, после чего выбираете путь к папке, файлу и так далее;
    

    Картинка с сайта: trashbox.ru

Недостатки отключения Защитника Windows

Разработчики из компании Microsoft достаточно неплохо потрудились над Windows 10, так что Защитник Windows работает отлично — он действительно защищает от различных вредоносных файлов, не даёт фишинговым программам получать данные пользователя, оберегая систему от различных пакостей. Так что если у вас нет острой необходимости отключать Защитник, то лучше этого не делать — встроенный антивирус вполне пригоден для того, чтобы заменить более известные аналоги от сторонних разработчиков. И, конечно, делая любые манипуляции с реестром, лучше иметь про запас бэкап операционной системы до внесения изменений.

Приветствую!

Одна из «краеугольных» проблем с защитником Windows — в том, что он удаляет файлы без предупреждения (либо блокирует их и не позволяет запустить/скопировать). Причем, не появляется нигде никакого сообщения с кнопкой о том, разрешить ли эту операцию… Почему до сих пор это не исправлено? 😥

Довольно часто с этим сталкиваются любители игр (особенно при использовании различных «дополнений» к основному установщику игры).

Ниже предложу пару способов, как можно добавить в исключение защитника определенную папку (например, это можно сделать для каталога с играми).*

* Важно: имейте ввиду, что в такой папке-исключения не будут проверяться никакие файлы (что может сказаться на защите вашей ОС. Внимательно просматривайте все файлы, что вы из нее запускаете!).

*

Картинка с сайта: ocomp.info

Пример выше-оговоренной проблемы. Не удалось удалить файл из-за непредвиденной ошибки (файл содержит вирус или потенциально нежелательную программу)

*

Добавляем папку с играми в исключения защитника

📌 ШАГ 1

Для начала открываем проводник (Win+E) и находим папку, которую нужно добавить в исключения (т.е. из которой защитник что-то удаляем). В моем случае это каталог: C:\Users\Desktop\Games (путь нужно скопировать, он будет нужен).

Картинка с сайта: ocomp.info

Копируем путь до папки с игрой

*

📌 ШАГ 2

Далее нужно запустить терминал Windows от имени администратора (в большинстве случаев достаточно кликнуть ПКМ по меню ПУСК, а затем в меню выбрать оное…).

Затем нужно ввести следующие команды (я их выделил коричневым; после каждой нажимать Enter):

1. Get-MpPreference | fl excl* — показывает какие каталоги были добавлены в исключения (т.е. не проверяются защитником);
2. Add-MpPreference -ExclusionPath «C:\Users\Desktop\Games» — добавление папки в исключения (т.е. защитник ее не будет проверять! Разумеется, вместо моего пути — вам нужно добавить свой каталог). См. скрин ниже; 👇
3. Remove-MpPreference -ExclusionPath «C:\Users\Desktop\Games» — удаление каталога из списка исключений (т.е. защитник начнет его проверять снова).

Картинка с сайта: ocomp.info

Терминал — команда для добавления в исключения

*

📌 ШАГ 3

Вообще, введенные ваше команды должны сработать сразу же (как и действия защитника). Но на всякий случай я бы порекомендовал перезагрузить машину…

*

📌 ШАГ 4

Есть альтернативный вариант работы с защитником — из параметров ОС (правда, он не такой удобный…).

Для начала потребуется открыть вкладку «Безопасность Windows | Защита от вирусов и угроз». См. скрин ниже. 👇

Картинка с сайта: ocomp.info

Безопасность Windows

Далее перейти в раздел настроек «Параметров защиты от вирусов и других угроз» (по англ. «Virus & threat protection settings») — затем прокрутить страничку вниз и во вкладке «Исключения» (по англ. «Exclusion») нажать по ссылке «Добавить» (или «Add…»).

Картинка с сайта: ocomp.info

Параметры защиты от вирусов и других угроз

В этой вкладке можно указать те папки, которые нужно исключить из проверок защитника (тут уже, кстати говоря, есть наша добавленная ранее папка). На мой взгляд удобнее работать через терминал (быстрее 😉).

Картинка с сайта: ocomp.info

Добавить исключение

*

На сим пока всё… Успехов!

👋

So, what exactly is a Trojan? Is it a virus or malware? 

Before your mind fills up with a myriad of thoughts, let’s get a quick understanding of this term. A Trojan is typically a malicious piece of code that infiltrates your device to gain unauthorized access to your data. 

Trojans can be disguised in any form, a harmless file that you download from the web, a fake contest banner, a phishing link, an email, or a legit-looking application.

While Windows Defender, the pre-installed security software is designed to protect the entire Operating system but does it really live up to the hype & expectations?

We recently read a thread on the Reddit forum, where an upset user was discussing how Windows Defender detected a Trojan horse but was not able to remove it completely. It showed the message “Remediation incomplete”. Some users even complained about receiving the error Trojan:Win32/Amadey.PAB!MTB every time they did the analysis.

Картинка с сайта: wethegeek.com

Also read: Is Windows Defender Good Enough For PC Protection In 2021

Although Windows Defender offers top-notch antimalware protection to keep your device and data safe, it is not capable of handling all kinds of viruses, malware, trojan, and other security threats. Undoubted, you can trust it for basic Firewall protection, but not beyond that!

So, Why Does Windows Defender Fails To Delete Trojan Horse Viruses?

Lately, Windows Defender is having trouble deleting threats like a trojan horse and similar kinds. Experts have suggested that oftentimes, a corrupted registry entry, software conflicts, and issues caused by non-reliable security programs can stop Windows Defender from working properly. 

In this post, we have listed a couple of ways that you can try if Windows Defender skips eliminating Trojans on your device.

Also read: How To Enable Ransomware Protection In Windows Defender?

What to Do If Windows Defender Fails to Remove Trojans?

If Windows Defender is unable to detect or remove Trojans, here are a few alternatives that you can try.

1. Switch to a New Antivirus Software

Well, if the in-built Windows Defender is not able to delete Trojan horse on your computer, it’s pretty obvious that it doesn’t offer the best security & protection from different types of threats. Hence, switching to a third-party antivirus, that is capable of combating dangerous malware infections is a wise choice. You can check out the list of Top Antivirus Software to use in 2023. 

We’ve been personally using Systweak Antivirus for Windows PC for quite a long time now. It offers real-time protection against viruses, malware, trojans, spyware, adware, and other malicious threats.

Картинка с сайта: wethegeek.com

Картинка с сайта: wethegeek.com

Systweak Antivirus is also capable of detecting zero-day exploits and safeguarding your device from hackers or multiple types of malicious codes. Additionally, it helps in improving your device’s speed and performance by removing unwanted/malicious startup items.

2. Perform a Clean Boot

Clean Boot loads the OS with a minimal set of drivers, apps, and services. By performing a clean boot on your Windows PC, you can figure out any third-party app or program with your device’s functioning. To clean boot Windows 10, follow these steps:

Launch the Start menu search box, type “Msconfig” and hit Enter. In the System Configuration window, switch to the “Services” tab.

Картинка с сайта: wethegeek.com

Check on the “Hide all Microsoft services” option placed at the bottom. Tap on the “Disabled all” button.

Картинка с сайта: wethegeek.com

Now, switch to the “Startup” tab and click on “Open Task Manager”.

Картинка с сайта: wethegeek.com

Close the Task Manager window and then tap the OK button. Reboot your device to load your device with only essential files, drivers, and services.

Also read: How To Disable Windows Defender In Windows 10?

3. Manually Enable the Windows Defender Service

To manually enable the Windows Defender service, follow these steps:

Press the Windows + R key combination to open the Run dialog box. Type “Services.msc” in the textbox and hit Enter.

Картинка с сайта: wethegeek.com

Scroll down through the list and look for “Windows Defender Antivirus service”. Right-click on it and select “Properties”.

Картинка с сайта: wethegeek.com

Tap the “Start” button to manually enable the service. Select the Startup type value as “Automatic”.

Картинка с сайта: wethegeek.com

Hit on the OK and Apply button to save the recent changes.

Close all the active windows and reboot your device.

4. Download Microsoft Safety Scanner

Картинка с сайта: wethegeek.com

Developed by the Microsoft Corporation, Microsoft Safety Scanner is a free virus and malware scanner tool that you can use on Windows to deal with security threats. So, if Windows Defender fails to remove Trojan, you can try the Microsoft Safety Scanner to get the job done for you. It specializes in detecting trojans, unwanted programs, and other malware. Microsoft Safety Scanner is a standalone virus scanning tool that you can keep on your device along with your existing antivirus software as well.

Also read: How To Make Windows Defender More Effective

Conclusion

Here were a few ways that you can try if Windows Defender fails to remove Trojans on your PC or laptop. A Trojan typically can’t spread itself, so you can use any of the above-mentioned workarounds to deal with potentially dangerous programs.

Was this post helpful? For any other queries or assistance, feel free to use the comments space to share your thoughts.

FAQ

Q1. Why threats are not removed in Windows Defender?

Well, if the pre-installed security program marks any threat as blocked, it indicates that the specific threat will not be executed. Hence, you either need to take the help of third-party antivirus software to get rid of potential infections. 

Q2. Can Trojan Viruses be removed easily?

Of course! Trojan horse viruses can be easily eliminated via different methods. Some of the most effective ways are stated below: 

• Uninstall suspicious programs that you don’t remember installing. 
• Remove trojans posing as authentic startup items.
• End malicious background processes. 
• Scan your device with authentic antivirus software & delete trojan horse. 

Q3. Can trojan horse steal your personal information?

Well, Trojan-Ransom is a type of trojan horse that can collect and modify your personal data stored on your PC. Once the data gets into the wrong hands, cybercriminals will only release the information, after the victim has paid the demanded ransom money.