ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Siggen8.53136

Добавлен в вирусную базу Dr.Web: 2019-11-03

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\startup\desktop.ini
Создает следующие сервисы
  • [<HKLM>\system\currentcontrolset\services\TermService\parameters] 'ServiceDLL' = '%ProgramFiles%\windows mail\appcache.xml'
  • [<HKLM>\System\CurrentControlSet\Services\TermService] 'Start' = '00000002'
Изменяет следующие исполняемые системные файлы
  • <SYSTEM32>\unregmp2.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
  • расширений файлов
Изменяет следующие настройки браузера Windows Internet Explorer
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnPost' = '{01,00,00,00}'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'PMDisplayName' = 'Internet [Protected Mode]'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'Description' = 'This zone contains all Web sites you haven't...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'Icon' = 'inetcpl.cpl#001313'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'LowIcon' = 'inetcpl.cpl#005425'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'CurrentLevel' = '00011500'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'Flags' = '00000001'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '' = ''
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'DisplayName' = 'Restricted sites'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'PMDisplayName' = 'Restricted sites [Protected Mode]'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'Description' = 'This zone contains Web sites that could pote...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'Icon' = 'inetcpl.cpl#00004481'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'LowIcon' = 'inetcpl.cpl#005426'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'CurrentLevel' = '00012000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'Flags' = '00000003'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1200' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2007' = '00010000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1200' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1200' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1200' = '00000003'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1400' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1400' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1400' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2500' = '00000003'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'DisplayName' = 'Computer'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'PMDisplayName' = 'Computer [Protected Mode]'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnonZoneCrossing' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '2007' = '00000003'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2007' = '00010000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '2007' = '00010000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'DisplayName' = 'Internet'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1200' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '' = ''
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'CurrentLevel' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1400' = '00000003'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1C00' = '00000000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = '{1a,37,61,59,23,5...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A10' = '00000001'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = '{1a,37,61,59,23,5...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = '{1a,37,61,59,23,5...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1A10' = '00000003'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = '{1a,37,61,59,23,5...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '' = ''
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'DisplayName' = 'My Computer'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'PMDisplayName' = 'My Computer [Protected Mode]'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'Description' = 'Your computer'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'Icon' = 'shell32.dll#0016'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'LowIcon' = 'inetcpl.cpl#005422'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'Flags' = '00000021'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'CurrentLevel' = '00011000'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '' = ''
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'DisplayName' = 'Local intranet'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'PMDisplayName' = 'Local intranet [Protected Mode]'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'Description' = 'This zone contains all Web sites that are on...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'Icon' = 'shell32.dll#0018'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'LowIcon' = 'inetcpl.cpl#005423'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'CurrentLevel' = '00010500'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'Flags' = '00000143'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '' = ''
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'DisplayName' = 'Trusted sites'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'PMDisplayName' = 'Trusted sites [Protected Mode]'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'Description' = 'This zone contains Web sites that you trust ...
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'Icon' = 'inetcpl.cpl#00004480'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'LowIcon' = 'inetcpl.cpl#005424'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'Flags' = '00000047'
  • [\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '2007' = '00000003'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\nsg3443.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\desktop.ini
  • C:\users\wgautilacc\favorites\links\desktop.ini
  • C:\users\wgautilacc\favorites\microsoft websites\microsoft store.url
  • C:\users\wgautilacc\favorites\windows live\get windows live.url
  • C:\users\wgautilacc\favorites\windows live\windows live gallery.url
  • C:\users\wgautilacc\favorites\windows live\windows live spaces.url
  • C:\users\wgautilacc\appdata\local\microsoft\windows\history\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\desktop.ini
  • C:\users\wgautilacc\favorites\msn websites\msn entertainment.url
  • C:\users\wgautilacc\favorites\msn websites\msn money.url
  • C:\users\wgautilacc\favorites\msn websites\msnbc news.url
  • C:\users\wgautilacc\favorites\msn websites\msn sports.url
  • C:\users\wgautilacc\favorites\msn websites\msn.url
  • C:\users\wgautilacc\favorites\microsoft websites\microsoft at work.url
  • C:\users\wgautilacc\favorites\windows live\windows live mail.url
  • C:\users\wgautilacc\appdata\local\temp\~dfb6ad1dd131051cdd.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\windows\history\history.ie5\desktop.ini
  • C:\users\wgautilacc\appdata\local\temp\~dffc2c9043c4986ca0.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfa61e885f4d3bb85d.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\q2c8vjqw\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\79tzu3ec\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\879k0heq\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\hczwdmd1\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\index.dat
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\ietldcache\index.dat
  • C:\users\wgautilacc\appdata\local\microsoft\windows\history\history.ie5\index.dat
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\cookies\index.dat
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\g0dj6gbx\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\raota58a\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\syjh2bgi\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\7idvulc4\desktop.ini
  • C:\users\wgautilacc\favorites\microsoft websites\microsoft at home.url
  • C:\users\wgautilacc\favorites\msn websites\msn autos.url
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\index.dat
  • C:\users\wgautilacc\appdata\local\microsoft\feeds\microsoft feeds~\microsoft at home~.feed-ms
  • C:\users\wgautilacc\appdata\local\microsoft\internet explorer\brndlog.txt
  • C:\users\wgautilacc\documents\desktop.ini
  • C:\users\wgautilacc\searches\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~ocuments.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\administrative tools\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~ictures.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\desktop.ini
  • C:\users\wgautilacc\favorites\desktop.ini
  • C:\users\wgautilacc\desktop\desktop.ini
  • C:\users\wgautilacc\pictures\desktop.ini
  • C:\users\wgautilacc\videos\desktop.ini
  • C:\users\wgautilacc\music\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk
  • C:\users\wgautilacc\favorites\microsoft websites\ie site on microsoft.com.url
  • C:\users\wgautilacc\downloads\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\internet explorer (no add-ons).lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\google chrome.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\google chrome.lnk
  • C:\users\wgautilacc\appdata\local\temp\chrome_installer.log
  • C:\users\wgautilacc\links\downloads.lnk
  • C:\users\wgautilacc\links\desktop.lnk
  • C:\users\wgautilacc\links\recentplaces.lnk
  • C:\users\wgautilacc\searches\everywhere.search-ms
  • C:\users\wgautilacc\searches\indexed locations.search-ms
  • C:\users\wgautilacc\saved games\desktop.ini
  • C:\users\wgautilacc\links\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~usic.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~ideos.tmp
  • C:\users\wgautilacc\favorites\microsoft websites\ie add-on site.url
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\genko_1.emf
  • C:\users\wgautilacc\appdata\local\temp\~df81500487c63fcd70.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\windows\explorer\thumbcache_256.db
  • C:\users\wgautilacc\appdata\local\microsoft\windows\explorer\thumbcache_96.db
  • C:\users\wgautilacc\appdata\local\microsoft\windows\explorer\thumbcache_32.db
  • C:\users\wgautilacc\appdata\local\microsoft\windows\explorer\thumbcache_idx.db
  • C:\users\wgautilacc\appdata\local\microsoft\windows\burn\burn\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\a06bu48eogok4yfpz04i.temp
  • C:\users\wgautilacc\appdata\local\microsoft\windows\explorer\thumbcache_1024.db
  • C:\users\wgautilacc\favorites\links for united states\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\z451s4r1vlkl04jmt5bf.temp
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\windows explorer.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\internet explorer.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\eursg5pzdud277px2tcs.temp
  • C:\users\wgautilacc\appdata\local\temp\www471a.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\automaticdestinations\1b4dd67f29cb1962.automaticdestinations-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\windows media player.lnk
  • C:\users\wgautilacc\appdata\local\microsoft\feeds\feedsstore.feedsdb-ms
  • C:\users\wgautilacc\favorites\links for united states\usa.gov.url
  • C:\users\wgautilacc\appdata\local\temp\~df5c0f2391851f4b46.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\feeds\feeds for united states~\usa~dgov updates~c news and features~.feed-ms
  • C:\users\wgautilacc\appdata\local\temp\~df4240a40ac003d08d.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df4899211aec7f3ae6.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfe45c5289aa146009.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df0c6138bdd0dee30c.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfa458e854e380f236.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df06bbc9dcf91d21cc.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df6e13063c629eb94f.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dff813e0bc24389675.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\feeds\feeds for united states~\popular government questions from usa~dgov~.feed-ms
  • C:\users\wgautilacc\appdata\local\temp\~df936128357f34e91e.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfc1462183eefe678b.tmp
  • C:\users\wgautilacc\favorites\links for united states\gobiernousa.gov.url
  • C:\users\wgautilacc\appdata\local\temp\www4719.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\internet explorer\brndlog.bak
  • C:\users\wgautilacc\appdata\local\microsoft\windows\explorer\thumbcache_sr.db
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\internet explorer (64-bit).lnk
  • C:\users\wgautilacc\appdata\local\temp\rgi2ef2.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dffefbcb3f62c924c4.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df760d490440b93861.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfb52301424254d666.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df2c754e8139937101.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfd8398d10483cbd65.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df73afa30e32371de1.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\feeds\microsoft feeds~\microsoft at work~.feed-ms
  • C:\users\wgautilacc\appdata\local\temp\~df1c4cbb5a5ec2e7da.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dff9bb64111b5fb74a.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\media player\localmls_3.wmdb
  • C:\users\wgautilacc\appdata\local\temp\~dfb12c133ce8bd35cb.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df219ee616c3ab6794.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dff935b83290067aa9.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df5382a46f591771a3.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df52cd31e28ddb8987.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\feeds\microsoft feeds~\msnbc news~.feed-ms
  • C:\users\wgautilacc\appdata\local\temp\~df93cb3b9183ac4699.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\desktop.ini
  • C:\users\wgautilacc\appdata\local\temp\~dfd809ab0d1826c318.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df10d1a2a27d0e1984.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfab4f4901f3bba015.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2e73.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2e53.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2e32.tmp
  • C:\users\wgautilacc\appdata\local\temp\www2bd2.tmp
  • C:\users\wgautilacc\appdata\local\temp\www2bc1.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df9f595c61893f5c76.tmp
  • C:\users\wgautilacc\appdata\local\temp\~df7f32256af9027984.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfaf000817a2418156.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfaf793f6f24ea0be7.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\feeds\{5588acfd-6436-411b-a5ce-666ae6a92d3d}~\webslices~\web slice gallery~.feed-ms
  • C:\users\wgautilacc\appdata\local\temp\~df1e0155832654bca6.tmp
  • C:\users\wgautilacc\appdata\local\temp\~dfced6be40378735fc.tmp
  • C:\users\wgautilacc\favorites\links\web slice gallery.url
  • C:\users\wgautilacc\appdata\local\temp\~df0393741fd214d994.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2ea3.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\media player\currentdatabase_372.wmdb
  • C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdknsd.xml
  • C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdkns.xml.bak
  • C:\users\wgautilacc\appdata\local\temp\rgidf67.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgie085.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgie007.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgidfe7.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgidfb7.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgidf96.tmp
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf5b1.tmp
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf561.tmp
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf571.tmp
  • C:\users\wgautilacc\ntuser.pol
  • C:\users\wgautilacc\ntuser.dat.log1
  • C:\users\wgautilacc\appdata\local\microsoft\windows\usrclass.dat
  • C:\users\wgautilacc\appdata\local\microsoft\windows\usrclass.dat.log1
  • C:\users\wgautilacc\ntuser.ini
  • \device\termdd
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\themes\transcodedwallpaper.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.chk
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\shows desktop.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\control panel.lnk
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\tmp.edb
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.log
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edbres00002.jrs
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edbres00001.jrs
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edbtmp.log
  • C:\users\wgautilacc\appdata\local\temp\wgautilacc.bmp
  • C:\users\wgautilacc\contacts\wgautilacc.contact
  • C:\users\wgautilacc\contacts\desktop.ini
  • D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1006\desktop.ini
  • <SYSTEM32>\spool\drivers\x64\3\new\tsprint-pipelineconfig.xml
  • <SYSTEM32>\spool\drivers\x64\3\new\tsprint-datafile.dat
  • <SYSTEM32>\spool\drivers\x64\3\new\tsprint.dll
  • C:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1006\desktop.ini
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf777.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\windows\explorer\explorerstartuplog.etl
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\private character editor.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\run.lnk
  • %ProgramFiles%\windows mail\cleanuptask.cfg
  • C:\users\wgautilacc\ntuser.dat
  • %PROGRAMDATA%\microsoft\crypto\rsa\machinekeys\f686aace6942fb7f7ceb231212eef4a4_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
  • <SYSTEM32>\microsoft\protect\s-1-5-20\preferred
  • <SYSTEM32>\microsoft\protect\s-1-5-20\1dc66641-62c0-4ea6-bdd3-20b04b43eb37
  • %WINDIR%\temp\usrnm.txt
  • <SYSTEM32>\rfxvmt.dll
  • %ProgramFiles%\windows mail\default_list.xml
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\maintenance\desktop.ini
  • %ProgramFiles%\windows mail\appcache.xml
  • %TEMP%\nsw3454.tmp\system.dll
  • %TEMP%\add.ps1
  • %TEMP%\premiumextrapzigfheefy.ps1
  • %TEMP%\chadshfsd323.txt
  • %TEMP%\nsw3454.tmp\blowfish.dll
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\windowsmail.msmessagestore
  • C:\users\wgautilacc\appdata\local\temp\~dfad6297916a1c50e4.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\windows explorer.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\accessibility\on-screen keyboard.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\maintenance\help.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\sendto\compressed (zipped) folder.zfsendtotarget
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\window switcher.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\sendto\fax recipient.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\notepad.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\sendto\desktop (create shortcut).desklink
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\sendto\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\sendto\mail recipient.mapimail
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\command prompt.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\accessibility\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\accessibility\ease of access.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\accessibility\magnify.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\accessibility\narrator.lnk
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\computer.lnk
  • C:\users\wgautilacc\appdata\local\temp\~df2e283f69cf476799.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\protect\credhist
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\backup\temp\windowsmail.msmessagestore
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\to_do_list.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\tanspecks.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\stucco.gif
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\stars.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\stars.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\softblue.jpg
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf550.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\soft blue.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\small_news.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\shadesofblue.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\shades of blue.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\seyes.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\sand_paper.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\roses.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\tiki.gif
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\white_chocolate.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdkns.dtd
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\psychedelic.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\wrinkled_paper.gif
  • C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdkns.xml
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\12_all_video.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\11_all_pictures.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\10_all_music.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\09_music_played_the_most.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\08_video_rated_at_4_or_5_stars.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\07_tv_recorded_in_the_last_week.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\06_pictures_rated_4_or_5_stars.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\05_pictures_taken_in_the_last_month.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\04_music_played_in_the_last_month.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\03_music_rated_at_4_or_5_stars.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\02_music_added_in_the_last_month.wpl
  • C:\users\wgautilacc\appdata\local\microsoft\media player\sync playlists\en-us\0014159a\01_music_auto_rated_at_5_stars.wpl
  • C:\users\wgautilacc\appdata\local\temp\wmsetup.log
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\roses.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\shorthand.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\pretty_peacock.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\pine_lumber.jpg
  • C:\users\wgautilacc\appdata\roaming\microsoft\protect\s-1-5-21-1960123792-2022915161-3775307078-1006\be4e51b6-4a3a-4174-b8a8-efea599767bf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\oeold.xml
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\connectivity.gif
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\cave_drawings.gif
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\blue_gradient.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\bears.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\bears.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\account{7a4c6c6d-f98d-4c78-a780-afd66a90cbd6}.oeaccount
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\garden.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\account{df8c14dd-1be4-4ba2-8377-d5e2133d50e1}.oeaccount
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\account{9503b495-c75c-45ba-bf34-081f60366e85}.oeaccount
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\backup\temp\windowsmail.pat
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\backup\temp\edb00001.log
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\windowsmail.pat
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\garden.jpg
  • C:\users\wgautilacc\appdata\roaming\microsoft\protect\s-1-5-21-1960123792-2022915161-3775307078-1006\preferred
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\genko_2.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\green bubbles.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\peacock.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\dotted_lines.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\peacock.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\orangecircles.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\orange circles.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\notebook.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\music.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\month_calendar.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\monet.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\memo.emf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\handprints.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\hand prints.htm
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\grid_(inch).wmf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\grid_(cm).wmf
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\greenbubbles.jpg
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\stationery\graph.emf
  • C:\users\wgautilacc\appdata\local\temp\~dfb121168fef227063.tmp
Присваивает атрибут 'скрытый' для следующих файлов
  • C:\users\wgautilacc\ntuser.dat
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\desktop.ini
  • C:\users\wgautilacc\favorites\links\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\7idvulc4\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\syjh2bgi\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\raota58a\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\history\history.ie5\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\burn\burn\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\hczwdmd1\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\879k0heq\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\79tzu3ec\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\feeds cache\q2c8vjqw\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\history\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\desktop.ini
  • C:\users\wgautilacc\saved games\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\<INETFILES>\content.ie5\g0dj6gbx\desktop.ini
  • C:\users\wgautilacc\links\desktop.ini
  • C:\users\wgautilacc\favorites\desktop.ini
  • C:\users\wgautilacc\appdata\local\microsoft\windows\usrclass.dat
  • C:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1006\desktop.ini
  • D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1006\desktop.ini
  • C:\users\wgautilacc\contacts\desktop.ini
  • C:\users\wgautilacc\videos\desktop.ini
  • C:\users\wgautilacc\pictures\desktop.ini
  • C:\users\wgautilacc\desktop\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\startup\desktop.ini
  • C:\users\wgautilacc\music\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\desktop.ini
  • C:\users\wgautilacc\documents\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\desktop.ini
  • C:\users\wgautilacc\searches\desktop.ini
  • C:\users\wgautilacc\downloads\desktop.ini
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\administrative tools\desktop.ini
  • C:\users\wgautilacc\favorites\links for united states\desktop.ini
Удаляет следующие файлы
  • %TEMP%\nsw3454.tmp\blowfish.dll
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf141f3e.tmp
  • C:\users\wgautilacc\appdata\local\temp\www2bc1.tmp
  • C:\users\wgautilacc\appdata\local\temp\www2bd2.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk
  • C:\users\wgautilacc\appdata\local\temp\rgi2e32.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2e53.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2ea3.tmp
  • C:\users\wgautilacc\appdata\local\temp\www4719.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2ef2.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\media player\localmls_3.wmdb
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf143f59.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf143f69.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf143f78.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf143f88.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf141f2f.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgi2e73.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf141ef0.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgie007.tmp
  • %TEMP%\nsw3454.tmp\system.dll
  • %TEMP%\chadshfsd323.txt
  • C:\users\wgautilacc\appdata\local\temp\rgidf67.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgidf96.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgidfb7.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgidfe7.tmp
  • C:\users\wgautilacc\appdata\local\temp\rgie085.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdknsd.xml
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\mxdwdrv.dll
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\tsprint-datafile.dat
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\tsprint-pipelineconfig.xml
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\tsprint.dll
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\xpssvcs.dll
  • C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdkns.xml.bak
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf141ec1.tmp
  • C:\users\wgautilacc\appdata\local\temp\www471a.tmp
Перемещает следующие файлы
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf550.tmp в <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\tsprint.dll
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\eursg5pzdud277px2tcs.temp в C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\5afe4de1b92fc382.customdestinations-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf143f88.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf143f78.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf143f69.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf143f59.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf141f3e.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf141f2f.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf141ef0.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\z451s4r1vlkl04jmt5bf.temp в C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\1b4dd67f29cb1962.customdestinations-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf141ec1.tmp
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edbtmp.log в C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.log
  • <SYSTEM32>\spool\drivers\x64\3\new\tsprint-pipelineconfig.xml в <SYSTEM32>\spool\drivers\x64\3\tsprint-pipelineconfig.xml
  • <SYSTEM32>\spool\drivers\x64\3\new\tsprint-datafile.dat в <SYSTEM32>\spool\drivers\x64\3\tsprint-datafile.dat
  • <SYSTEM32>\spool\drivers\x64\3\new\tsprint.dll в <SYSTEM32>\spool\drivers\x64\3\tsprint.dll
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf777.tmp в <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\xpssvcs.dll
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf5b1.tmp в <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\mxdwdrv.dll
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf571.tmp в <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\tsprint-datafile.dat
  • <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\setf561.tmp в <SYSTEM32>\spool\drivers\x64\{6e9c29ae-cbb8-4ff7-b7b6-a209f241c68a}\tsprint-pipelineconfig.xml
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.log в C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb00001.log
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\a06bu48eogok4yfpz04i.temp в C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\customdestinations\7e4dca80246863e3.customdestinations-ms
Подменяет следующие файлы
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edbtmp.log
  • C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.log
  • C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdkns.xml.bak
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms
  • C:\users\wgautilacc\appdata\local\microsoft\media player\localmls_3.wmdb
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~usic.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~ideos.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~ocuments.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\~ictures.tmp
  • C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk
Самоудаляется.
Сетевая активность
TCP
  • 'localhost':49174
UDP
  • DNS ASK ki####dzhara.xyz
Другое
Ищет следующие окна
  • ClassName: 'CicLoaderWndClass' WindowName: ''
  • ClassName: 'Progman' WindowName: ''
  • ClassName: 'Proxy Desktop' WindowName: ''
  • ClassName: 'PersonalizationThemeChangeListener' WindowName: ''
  • ClassName: 'SystemTray_Main' WindowName: ''
  • ClassName: 'OutlookExpressHiddenWindow' WindowName: ''
  • ClassName: 'Media Center Tray Applet' WindowName: ''
  • ClassName: '' WindowName: 'View Available Networks'
  • ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: 'BluetoothNotificationAreaIconWindowClass'
  • ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: ''
Создает и запускает на исполнение
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep bypass -f %TEMP%\premiumextraPZIGFHEEFY.ps1
  • '<SYSTEM32>\cmd.exe' /c powershell -ep bypass -f %TEMP%\premiumextraPZIGFHEEFY.ps1' (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /C net.exe user WgaUtilAcc Ghasar4f5 /del' (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /C net.exe user WgaUtilAcc SzPxGkG0 /add' (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" WgaUtilAcc /ADD' (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" lzjdzriwnov$ /ADD' (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Administrators" WgaUtilAcc /ADD' (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /C net.exe user WgaUtilAcc SzPxGkG0' (со скрытым окном)
  • '<SYSTEM32>\userinit.exe' ' (со скрытым окном)
  • '%WINDIR%\syswow64\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36' (со скрытым окном)
  • '<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36' (со скрытым окном)
Запускает на исполнение
  • '<SYSTEM32>\cmd.exe' /c powershell -ep bypass -f %TEMP%\premiumextraPZIGFHEEFY.ps1
  • '%WINDIR%\syswow64\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36
  • '%WINDIR%\syswow64\ie4uinit.exe' -BaseSettings
  • '%WINDIR%\explorer.exe'
  • '<SYSTEM32>\userinit.exe'
  • '<SYSTEM32>\rdpclip.exe'
  • '<SYSTEM32>\gpscript.exe' /RefreshSystemParam
  • '<SYSTEM32>\winlogon.exe'
  • '<SYSTEM32>\smss.exe' 00000000 0000003c
  • '<SYSTEM32>\net1.exe' user WgaUtilAcc SzPxGkG0
  • '<SYSTEM32>\net.exe' user WgaUtilAcc SzPxGkG0
  • '<SYSTEM32>\cmd.exe' /C net.exe user WgaUtilAcc SzPxGkG0
  • '<SYSTEM32>\net1.exe' LOCALGROUP "Administrators" WgaUtilAcc /ADD
  • '<SYSTEM32>\net.exe' LOCALGROUP "Administrators" WgaUtilAcc /ADD
  • '<SYSTEM32>\csrss.exe' ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitializa...
  • '<SYSTEM32>\cmd.exe' /C net.exe user WgaUtilAcc SzPxGkG0 /add
  • '<SYSTEM32>\rundll32.exe' uxtheme.dll,#64 %WINDIR%\resources\Themes\Aero\Aero.msstyles?NormalColor?NormalSize
  • '<SYSTEM32>\rundll32.exe' "<SYSTEM32>\iedkcs32.dll",BrandIEActiveSetup SIGNUP
  • '<SYSTEM32>\ie4uinit.exe' -ClearIconCache
  • '<SYSTEM32>\ie4uinit.exe' -UserIconConfig
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\mscories.dll,Install
  • '<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36
  • '<SYSTEM32>\ie4uinit.exe' -BaseSettings
  • '<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Administrators" WgaUtilAcc /ADD
  • '<SYSTEM32>\regsvr32.exe' /s /n /i:/UserInstall <SYSTEM32>\themeui.dll
  • '%WINDIR%\syswow64\ie4uinit.exe' -UserIconConfig
  • '%ProgramFiles(x86)%\google\chrome\application\42.0.2311.135\installer\chrmstp.exe' --configure-user-settings --verbose-logging --system-level --multi-install --chrome
  • '%WINDIR%\syswow64\rundll32.exe' %WINDIR%\SysWOW64\mscories.dll,Install
  • '<SYSTEM32>\regsvr32.exe' /s /n /i:U shell32.dll
  • '<SYSTEM32>\unregmp2.exe' /FirstLogon /Shortcuts /RegBrowsers /ResetMUI
  • '%ProgramFiles%\windows mail\winmail.exe' OCInstallUserConfigOE
  • '%WINDIR%\syswow64\ie4uinit.exe' -ClearIconCache
  • '%ProgramFiles(x86)%\windows mail\winmail.exe' OCInstallUserConfigOE
  • '<SYSTEM32>\cmd.exe' /c del %temp%\*.txt /f
  • '<SYSTEM32>\cmd.exe' /c del %temp%\*.ps1 /f
  • '<SYSTEM32>\net1.exe' LOCALGROUP "Remote Desktop Users" lzjdzriwnov$ /ADD
  • '<SYSTEM32>\icacls.exe' rfxvmt.dll /remove BUILTIN\Administrators
  • '<SYSTEM32>\takeown.exe' /A /F rfxvmt.dll
  • '<SYSTEM32>\icacls.exe' rfxvmt.dll /inheritance:d
  • '<SYSTEM32>\icacls.exe' rfxvmt.dll /setowner "NT SERVICE\TrustedInstaller"
  • '<SYSTEM32>\icacls.exe' rfxvmt.dll /grant "NT SERVICE\TrustedInstaller:F"
  • '<SYSTEM32>\icacls.exe' rfxvmt.dll /remove "NT AUTHORITY\SYSTEM"
  • '%ProgramFiles%\windows sidebar\sidebar.exe' /autoRun
  • '<SYSTEM32>\icacls.exe' rfxvmt.dll /grant "NT AUTHORITY\SYSTEM:RX"
  • '<SYSTEM32>\cmd.exe' /c net start rdpdr
  • '<SYSTEM32>\reg.exe' ADD "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x1C21 /f
  • '<SYSTEM32>\reg.exe' add HKLM\system\currentcontrolset\services\TermService\parameters /v ServiceDLL /t REG_EXPAND_SZ /d "%ProgramFiles%\windows mail\appcache.xml" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fEnableWddmDriver /t reg_dword /d 0 /f
  • '<SYSTEM32>\net.exe' localgroup Administrators "NT AUTHORITY\NETWORK SERVICE" /add
  • '<SYSTEM32>\net1.exe' localgroup Administrators "NT AUTHORITY\NETWORK SERVICE" /add
  • '<SYSTEM32>\icacls.exe' rfxvmt.dll /grant BUILTIN\Administrators:RX
  • '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
  • '<SYSTEM32>\net.exe' start rdpdr
  • '<SYSTEM32>\cmd.exe' /c net start TermService
  • '<SYSTEM32>\net1.exe' start rdpdr
  • '<SYSTEM32>\net.exe' LOCALGROUP "Remote Desktop Users" lzjdzriwnov$ /ADD
  • '<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" lzjdzriwnov$ /ADD
  • '<SYSTEM32>\net1.exe' LOCALGROUP "Remote Desktop Users" WgaUtilAcc /ADD
  • '<SYSTEM32>\net.exe' LOCALGROUP "Remote Desktop Users" WgaUtilAcc /ADD
  • '<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" WgaUtilAcc /ADD
  • '<SYSTEM32>\cmd.exe' /c cmd/c net start TermService
  • '<SYSTEM32>\net1.exe' user WgaUtilAcc SzPxGkG0 /add
  • '<SYSTEM32>\cmd.exe' /c cmd/c net start rdpdr
  • '<SYSTEM32>\net1.exe' user WgaUtilAcc Ghasar4f5 /del
  • '<SYSTEM32>\net.exe' user WgaUtilAcc Ghasar4f5 /del
  • '<SYSTEM32>\cmd.exe' /C net.exe user WgaUtilAcc Ghasar4f5 /del
  • '<SYSTEM32>\net1.exe' start TermService
  • '<SYSTEM32>\net.exe' start TermService
  • '<SYSTEM32>\net.exe' user WgaUtilAcc SzPxGkG0 /add
  • '<SYSTEM32>\mctadmin.exe'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play