ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Siggen9.9611

Добавлен в вирусную базу Dr.Web: 2020-02-07

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
  • <SYSTEM32>\tasks\microsoft\windows\wininet\cleaner
Создает следующие сервисы
  • [<HKLM>\System\CurrentControlSet\Services\AppMgmt] 'Start' = '00000002'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
  • Средство контроля пользовательских учетных записей (UAC)
изменяет следующие системные настройки:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'DisallowRun' = '00000001'
добавляет исключения антивируса с помощью следующих ключей реестра::
  • [<HKLM>\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths] '%PROGRAMDATA%' = 'System'
  • [<HKLM>\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Exclusions\Paths] '%PROGRAMDATA%' = 'System'
  • [<HKLM>\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths] '<SYSTEM32>' = 'SystemHD'
  • [<HKLM>\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Exclusions\Paths] '<SYSTEM32>' = 'SystemHD'
Запускает на исполнение
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Port Blocking" protocol=TCP localport=445 action=block dir=IN
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Port Blocking" protocol=UDP localport=445 action=block dir=IN
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Port Block" protocol=TCP localport=139 action=block dir=IN
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Port Block" protocol=UDP localport=139 action=block dir=IN
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Script Service" dir=in action=allow program="%PROGRAMDATA%\rundll\rundll.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="AllowPort1" protocol=TCP localport=9494 action=allow dir=IN
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Small Service" dir=in action=allow program="%PROGRAMDATA%\rundll\Eternalblue-2.2.0.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="System Service" dir=in action=allow program="%PROGRAMDATA%\windows\rutserv.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Recovery Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\MicrosoftHost.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Shadow Services" dir=out action=allow program="%PROGRAMDATA%\WindowsTask\AppModule.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Shell Service" dir=in action=allow program="%PROGRAMDATA%\rundll\system.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Security Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\AMD.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Survile Service" dir=in action=allow program="%PROGRAMDATA%\RealtekHD\taskhostw.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Micro Service" dir=in action=allow program="%PROGRAMDATA%\rundll\Doublepulsar-1.3.1.exe" enable=yes
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Shadow Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\AppModule.exe" enable=yes
Читает файлы, отвечающие за хранение паролей сторонними программами
  • %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\autb3c1.tmp
  • %PROGRAMDATA%\windows\vp8decoder.dll
  • %PROGRAMDATA%\windows\vp8encoder.dll
  • %PROGRAMDATA%\windows\reg1.reg
  • %PROGRAMDATA%\windows\reg2.reg
  • %PROGRAMDATA%\windows\install.vbs
  • %PROGRAMDATA%\windows\rutserv.exe
  • %PROGRAMDATA%\windows\winit.exe
  • %TEMP%\aut9d6.tmp
  • %PROGRAMDATA%\microsoft\intel\r8.exe
  • %PROGRAMDATA%\microsoft\intel\taskhost.exe
  • %PROGRAMDATA%\microsoft\intel\winlog.exe
  • %TEMP%\vlmi{lolz}yg.col
  • %CommonProgramFiles%\system\iediagcmd.exe
  • %PROGRAMDATA%\install\cheat.exe
  • %PROGRAMDATA%\microsoft\intel\p.exe
  • %PROGRAMDATA%\windows\rfusclient.exe
  • %PROGRAMDATA%\windows\install.bat
  • %PROGRAMDATA%\microsoft\intel\wini.exe
  • %PROGRAMDATA%\microsoft\intel\pred.exe
  • %PROGRAMDATA%\microsoft\intel\winhost.exe
  • %APPDATA%\ptst2s7w4p9y3q2s7w4p9y3q\telegram\d877f783d5d3ef8c1
  • %APPDATA%\ptst2s7w4p9y3q2s7w4p9y3q\telegram\map0
  • %PROGRAMDATA%\microsoft\check\check.txt
  • %TEMP%\autd68c.tmp
  • %PROGRAMDATA%\install\winhost.exe
  • %PROGRAMDATA%\microsoft\temp\clean.bat
  • %PROGRAMDATA%\microsoft\temp\h.bat
  • %TEMP%\autd7d6.tmp
  • %PROGRAMDATA%\microsoft\temp\temp.bat
  • %TEMP%\autd8c1.tmp
  • %PROGRAMDATA%\microsoft\temp\5.xml
  • %TEMP%\autd99d.tmp
  • %TEMP%\autd729.tmp
  • %TEMP%\auta8d0.tmp
  • %PROGRAMDATA%\windowstask\opencl.dll
Удаляет следующие файлы
  • %TEMP%\autb3c1.tmp
  • %TEMP%\autd68c.tmp
  • %TEMP%\autd729.tmp
  • %TEMP%\autd7d6.tmp
  • %TEMP%\autd8c1.tmp
  • %TEMP%\autd99d.tmp
  • %TEMP%\aut9d6.tmp
  • %TEMP%\vlmi{lolz}yg.col
  • %TEMP%\auta8d0.tmp
Подменяет следующие файлы
  • %TEMP%\vlmi{lolz}yg.col
Другое
Ищет следующие окна
  • ClassName: 'EDIT' WindowName: ''
  • ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
  • '%PROGRAMDATA%\microsoft\intel\taskhost.exe'
  • '%PROGRAMDATA%\microsoft\intel\wini.exe' -pnaxui
  • '%PROGRAMDATA%\windows\rutserv.exe' /silentinstall
  • '%PROGRAMDATA%\microsoft\intel\winhost.exe'
  • '%PROGRAMDATA%\microsoft\intel\pred.exe'
  • '%PROGRAMDATA%\microsoft\intel\p.exe'
  • '%PROGRAMDATA%\install\winhost.exe' -pnaxui
  • '%PROGRAMDATA%\windows\winit.exe'
  • '%PROGRAMDATA%\install\cheat.exe' -pnaxui
  • '%PROGRAMDATA%\microsoft\intel\r8.exe'
  • '%PROGRAMDATA%\microsoft\intel\winlog.exe' -p123
  • '%WINDIR%\syswow64\wscript.exe' "%PROGRAMDATA%\Windows\install.vbs"
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%CommonProgramFiles%\System\iediagcmd.exe" /deny System:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\microsoft\clr_optimization_v4.0.30318_64" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\Fonts\Mysql" /deny System:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\Fonts\Mysql" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\svchost.exe" /deny system:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\microsoft\clr_optimization_v4.0.30318_64" /deny System:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\schtasks.exe' /create /TN "Microsoft\Windows\Wininet\Cleaner" /TR "%PROGRAMDATA%\WindowsTask\winlogon.exe" /SC ONLOGON /RL HIGHEST' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles%\Internet Explorer\bin" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort3" protocol=TCP localport=9494 action=allow dir=out' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%CommonProgramFiles%\System\iediagcmd.exe" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Microsoft JDX" /deny System:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Microsoft JDX" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort4" protocol=TCP localport=9393 action=allow dir=out' (со скрытым окном)
  • '%PROGRAMDATA%\microsoft\intel\p.exe' ' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\svchost.exe" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles%\Internet Explorer\bin" /deny system:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Malwarebytes /deny System:(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Micro Service" dir=in action=allow program="%PROGRAMDATA%\rundll\Doublepulsar-1.3.1.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop clr_optimization_v4.0.30318_64' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles%\ByteFence" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls C:\KVRT_Data /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls C:\KVRT_Data /deny system:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Indus /deny System:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\Driver Foundation Visions VHG" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\Driver Foundation Visions VHG" /deny System:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Zaxar" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls C:\AdwCleaner /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Zaxar" /deny system:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Indus /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%PROGRAMDATA%\microsoft\intel\r8.exe' ' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort2" protocol=TCP localport=9393 action=allow dir=IN' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Malwarebytes /deny %username%:(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="System Service" dir=in action=allow program="%PROGRAMDATA%\windows\rutserv.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %WINDIR%\speechstracing /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\MB3Install /deny %username%:(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort1" protocol=TCP localport=9494 action=allow dir=IN' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\360safe" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %WINDIR%\speechstracing /deny system:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop MoonTitle' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Shadow Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\AppModule.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete AdobeFlashPlayer' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop Adobeflashplayer' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Small Service" dir=in action=allow program="%PROGRAMDATA%\rundll\Eternalblue-2.2.0.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete crmsvc' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete mbamservice' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete bytefenceservice' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop bytefenceservice' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop mbamservice' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete "windows node"' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc config appidsvc start= auto' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc start appmgmt' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc start appidsvc' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c ""%PROGRAMDATA%\Windows\install.bat" "' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /C "wmic product where name="Microsoft Security Client" call uninstall /nointeractive"' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop AudioServer' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc config appmgmt start= auto' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete swprv' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete MoonTitle"' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete AudioServer"' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Script Service" dir=in action=allow program="%PROGRAMDATA%\rundll\rundll.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Shell Service" dir=in action=allow program="%PROGRAMDATA%\rundll\system.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\360" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Survile Service" dir=in action=allow program="%PROGRAMDATA%\RealtekHD\taskhostw.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\MB3Install /deny System:(F)' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Shadow Services" dir=out action=allow program="%PROGRAMDATA%\WindowsTask\AppModule.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Recovery Services" dir=out action=allow program="%PROGRAMDATA%\WindowsTask\MicrosoftHost.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Security Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\AMD.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Security Services" dir=out action=allow program="%PROGRAMDATA%\WindowsTask\AMD.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Recovery Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\MicrosoftHost.exe" enable=yes' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Block" protocol=UDP localport=139 action=block dir=IN' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Block" protocol=TCP localport=139 action=block dir=IN' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Blocking" protocol=UDP localport=445 action=block dir=IN' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Blocking" protocol=TCP localport=445 action=block dir=IN' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set allprofiles state on' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete MicrosoftMysql' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop MicrosoftMysql' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete clr_optimization_v4.0.30318_64"' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\SpyHunter" /deny %username%:(OI)(CI)(F)' (со скрытым окном)
Запускает на исполнение
  • '%WINDIR%\syswow64\schtasks.exe' /create /TN "Microsoft\Windows\Wininet\Cleaner" /TR "%PROGRAMDATA%\WindowsTask\winlogon.exe" /SC ONLOGON /RL HIGHEST
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %WINDIR%\speechstracing /deny system:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %WINDIR%\speechstracing /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Zaxar" /deny system:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Zaxar" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles%\Internet Explorer\bin" /deny system:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles%\Internet Explorer\bin" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\Fonts\Mysql" /deny System:(OI)(CI)(F)
  • '%WINDIR%\syswow64\sc.exe' delete MoonTitle"
  • '%WINDIR%\syswow64\sc.exe' delete crmsvc
  • '%WINDIR%\syswow64\sc.exe' stop mbamservice
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\Fonts\Mysql" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\microsoft\clr_optimization_v4.0.30318_64" /deny System:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\microsoft\clr_optimization_v4.0.30318_64" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\svchost.exe" /deny system:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%WINDIR%\svchost.exe" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\sc.exe' stop bytefenceservice
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%CommonProgramFiles%\System\iediagcmd.exe" /deny System:(OI)(CI)(F)
  • '%WINDIR%\syswow64\timeout.exe' 2
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%CommonProgramFiles%\System\iediagcmd.exe" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Microsoft JDX" /deny System:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\Microsoft JDX" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\sc.exe' start appmgmt
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort4" protocol=TCP localport=9393 action=allow dir=out
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Malwarebytes /deny %username%:(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Malwarebytes /deny System:(F)
  • '%WINDIR%\syswow64\icacls.exe' "%CommonProgramFiles%\System\iediagcmd.exe" /deny System:(OI)(CI)(F)
  • '%WINDIR%\syswow64\icacls.exe' %WINDIR%\speechstracing /deny system:(OI)(CI)(F)
  • '%WINDIR%\syswow64\sc.exe' config appidsvc start= auto
  • '%WINDIR%\syswow64\icacls.exe' "%WINDIR%\svchost.exe" /deny system:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\SpyHunter" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\icacls.exe' "%CommonProgramFiles%\System\iediagcmd.exe" /deny user:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles(x86)%\360" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\360safe" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\icacls.exe' "%ProgramFiles(x86)%\Microsoft JDX" /deny user:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%ProgramFiles%\ByteFence" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\sc.exe' stop AudioServer
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Recovery Services" dir=out action=allow program="%PROGRAMDATA%\WindowsTask\MicrosoftHost.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c icacls C:\KVRT_Data /deny system:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Indus /deny System:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\Driver Foundation Visions VHG" /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls "%PROGRAMDATA%\Driver Foundation Visions VHG" /deny System:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls C:\AdwCleaner /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\MB3Install /deny %username%:(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\MB3Install /deny System:(F)
  • '%WINDIR%\syswow64\cmd.exe' /c icacls %PROGRAMDATA%\Indus /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\sc.exe' delete AudioServer"
  • '%WINDIR%\syswow64\sc.exe' delete mbamservice
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort3" protocol=TCP localport=9494 action=allow dir=out
  • '%WINDIR%\syswow64\sc.exe' config appmgmt start= auto
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort2" protocol=TCP localport=9393 action=allow dir=IN
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete MoonTitle"
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop MoonTitle
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete AdobeFlashPlayer
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop Adobeflashplayer
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete "windows node"
  • '%WINDIR%\syswow64\regedit.exe' /s "reg1.reg"
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete crmsvc
  • '%WINDIR%\syswow64\sc.exe' start appidsvc
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete mbamservice
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete bytefenceservice
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop bytefenceservice
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop mbamservice
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete swprv
  • '%WINDIR%\syswow64\cmd.exe' /c sc config appmgmt start= auto
  • '%WINDIR%\syswow64\cmd.exe' /c sc config appidsvc start= auto
  • '%WINDIR%\syswow64\cmd.exe' /c sc start appmgmt
  • '%WINDIR%\syswow64\cmd.exe' /c sc start appidsvc
  • '%WINDIR%\syswow64\cmd.exe' /c ""%PROGRAMDATA%\Windows\install.bat" "
  • '%WINDIR%\syswow64\wbem\wmic.exe' product where name="Microsoft Security Client" call uninstall /nointeractive
  • '%WINDIR%\syswow64\cmd.exe' /C "wmic product where name="Microsoft Security Client" call uninstall /nointeractive"
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete AudioServer"
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop clr_optimization_v4.0.30318_64
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop AudioServer
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete clr_optimization_v4.0.30318_64"
  • '%WINDIR%\syswow64\sc.exe' delete "windows node"
  • '%WINDIR%\syswow64\cmd.exe' /c sc stop MicrosoftMysql
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="AllowPort1" protocol=TCP localport=9494 action=allow dir=IN
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Small Service" dir=in action=allow program="%PROGRAMDATA%\rundll\Eternalblue-2.2.0.exe" enable=yes
  • '%WINDIR%\syswow64\sc.exe' delete bytefenceservice
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Micro Service" dir=in action=allow program="%PROGRAMDATA%\rundll\Doublepulsar-1.3.1.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Script Service" dir=in action=allow program="%PROGRAMDATA%\rundll\rundll.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Shell Service" dir=in action=allow program="%PROGRAMDATA%\rundll\system.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="System Service" dir=in action=allow program="%PROGRAMDATA%\windows\rutserv.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Survile Service" dir=in action=allow program="%PROGRAMDATA%\RealtekHD\taskhostw.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Security Services" dir=out action=allow program="%PROGRAMDATA%\WindowsTask\AMD.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c icacls C:\KVRT_Data /deny %username%:(OI)(CI)(F)
  • '%WINDIR%\syswow64\sc.exe' delete AdobeFlashPlayer
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Security Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\AMD.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Shadow Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\AppModule.exe" enable=yes
  • '%WINDIR%\syswow64\regedit.exe' /s "reg2.reg"
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Recovery Service" dir=in action=allow program="%PROGRAMDATA%\WindowsTask\MicrosoftHost.exe" enable=yes
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Block" protocol=UDP localport=139 action=block dir=IN
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Block" protocol=TCP localport=139 action=block dir=IN
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Blocking" protocol=UDP localport=445 action=block dir=IN
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Port Blocking" protocol=TCP localport=445 action=block dir=IN
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set allprofiles state on
  • '%WINDIR%\syswow64\cmd.exe' /c sc delete MicrosoftMysql
  • '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="Shadow Services" dir=out action=allow program="%PROGRAMDATA%\WindowsTask\AppModule.exe" enable=yes
  • '%WINDIR%\syswow64\sc.exe' stop MoonTitle

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play