Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Autoruner.57196

Добавлен в вирусную базу Dr.Web: 2011-08-28

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Создает следующие файлы на съемном носителе:
  • <Имя диска съемного носителя>:\AUTORUN.INF
  • <Имя диска съемного носителя>:\msdll.exe
Вредоносные функции:
Запускает на исполнение:
  • <SYSTEM32>\reg.exe add "HKCR\Directory\shell\LEOPEN" /ve /d Ouvrir /F
  • <SYSTEM32>\reg.exe add "HKCR\Directory\shell\LEOPEN\command" /ve /d "%WINDIR%\ms1rep0.exe ""%1""" /F
  • <SYSTEM32>\reg.exe add "HKEY_CLASSES_ROOT\Directory\shell" /ve /d LEOPEN /F
  • <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run" /v msdll /t reg_sz /d "%WINDIR%\ms1dll0.exe" /f
  • <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run" /v mssky /t reg_sz /d "www.dz####.sitew.com" /f
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\ms1rep0.exe
  • C:\msdll.exe
  • C:\AUTORUN.INF
  • %WINDIR%\ms1dll0.exe
  • <LS_APPDATA>\MS1REP0.OK
  • <LS_APPDATA>\AUTORUN.OK
  • %TEMP%\a19006.bat
Присваивает атрибут 'скрытый' для следующих файлов:
  • %TEMP%\a19006.bat
Удаляет следующие файлы:
  • <LS_APPDATA>\AUTORUN.OK
  • <LS_APPDATA>\MS1REP0.OK
  • %TEMP%\a19006.bat