ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Siggen30.51154

Добавлен в вирусную базу Dr.Web: 2025-01-17

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
  • %APPDATA%\microsoft\windows\start menu\programs\startup\rest.bat
Устанавливает следующие настройки сервисов
  • [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Запускает на исполнение
  • '<SYSTEM32>\net.exe' stop ??ecurity Center??
  • '<SYSTEM32>\net.exe' user 13056 3007 /add
  • '<SYSTEM32>\net.exe' user 4686 9067 /add
  • '<SYSTEM32>\net.exe' user 15393 7818 /add
  • '<SYSTEM32>\net.exe' user 32670 22948 /add
  • '<SYSTEM32>\net.exe' user 20802 8461 /add
  • '<SYSTEM32>\net.exe' user 30379 11267 /add
  • '<SYSTEM32>\net.exe' user 6615 21879 /add
  • '<SYSTEM32>\net.exe' user 18224 10341 /add
  • '<SYSTEM32>\net.exe' user 13596 17318 /add
  • '<SYSTEM32>\net.exe' user 26859 31138 /add
  • '<SYSTEM32>\net.exe' user 11353 29265 /add
  • '<SYSTEM32>\net.exe' user 9517 32559 /add
  • '<SYSTEM32>\net.exe' user 32221 9190 /add
  • '<SYSTEM32>\net.exe' user 8191 2658 /add
  • '<SYSTEM32>\net.exe' user 27752 29528 /add
  • '<SYSTEM32>\net.exe' user 21964 18649 /add
  • '<SYSTEM32>\net.exe' user 24550 19410 /add
  • '<SYSTEM32>\net.exe' user 12233 7141 /add
  • '<SYSTEM32>\net.exe' user 8697 14639 /add
  • '<SYSTEM32>\net.exe' user 7468 17034 /add
  • '<SYSTEM32>\net.exe' user 13278 31564 /add
  • '<SYSTEM32>\net.exe' user 21424 31659 /add
  • '<SYSTEM32>\net.exe' user 30899 18781 /add
  • '<SYSTEM32>\net.exe' user 19465 16952 /add
  • '<SYSTEM32>\net.exe' user 4223 20704 /add
  • '<SYSTEM32>\net.exe' user 23140 16519 /add
  • '<SYSTEM32>\net.exe' user 16535 18995 /add
  • '<SYSTEM32>\net.exe' user 32355 9141 /add
  • '<SYSTEM32>\net.exe' user 9461 13154 /add
  • '<SYSTEM32>\net.exe' user 24146 9592 /add
  • '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Port 1122 TCP" dir=in action=allow protocol=TCP localport=Restarted
  • '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Port 1122 UDP" dir=in action=allow protocol=UDP localport=Restarted
  • '<SYSTEM32>\net.exe' user 17004 9176 /add
  • '<SYSTEM32>\net.exe' user 30407 28693 /add
  • '<SYSTEM32>\net.exe' user 26317 28649 /add
  • '<SYSTEM32>\net.exe' user 3382 18977 /add
  • '<SYSTEM32>\net.exe' user 22749 4188 /add
  • '<SYSTEM32>\net.exe' user 25145 22854 /add
  • '<SYSTEM32>\net.exe' user 27940 18853 /add
  • '<SYSTEM32>\net.exe' user 8771 27321 /add
  • '<SYSTEM32>\net.exe' user 1106 24776 /add
  • '<SYSTEM32>\net.exe' user 2328 27331 /add
  • '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable
  • '<SYSTEM32>\net.exe' user 15070 7277 /add
  • '<SYSTEM32>\net.exe' user 15340 23607 /add
  • '<SYSTEM32>\net.exe' user 4239 17804 /add
  • '<SYSTEM32>\net.exe' user 15220 14930 /add
  • '<SYSTEM32>\net.exe' user 32359 2251 /add
  • '<SYSTEM32>\net.exe' user 23457 27467 /add
  • '<SYSTEM32>\net.exe' user 18748 22600 /add
  • '<SYSTEM32>\net.exe' user 375 20517 /add
  • '<SYSTEM32>\net.exe' user 24026 32305 /add
  • '<SYSTEM32>\net.exe' user 23737 28329 /add
  • '<SYSTEM32>\net.exe' user 11186 27072 /add
  • '<SYSTEM32>\net.exe' user 9994 17405 /add
  • '<SYSTEM32>\net.exe' user 32033 13933 /add
  • '<SYSTEM32>\net.exe' user 11917 3697 /add
  • '<SYSTEM32>\net.exe' user 5392 25531 /add
  • '<SYSTEM32>\net.exe' user 25715 8399 /add
Запускает большое число процессов
Завершает или пытается завершить
следующие пользовательские процессы:
  • firefox.exe
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\7667.tmp\7668.tmp\7669.bat
  • nul
  • %TEMP%\7d4a.tmp\7d4b.tmp\7d4c.bat
  • <Текущая директория>\windowswimn32.bat
  • <Текущая директория>\9k21jm10b.log
  • <Текущая директория>\restart.bat
  • <Текущая директория>\bsod.cmd
  • <Текущая директория>\kill.txt
  • <Текущая директория>\rest.bat
  • C:\users\default\appdata\roaming\microsoft\windows\start menu\programs\startup
Присваивает атрибут 'скрытый' для следующих файлов
  • <Текущая директория>\9k21jm10b.log
  • <Текущая директория>\bsod.cmd
Удаляет следующие файлы
  • <Текущая директория>\rest.bat
Сетевая активность
TCP
Другие
  • '34.##9.100.209':443
UDP
  • 'localhost':52746
  • 'localhost':53595
Другое
Перезапускает анализируемый образец
Запускает на исполнение
  • '<SYSTEM32>\cmd.exe' /c "%TEMP%\7667.tmp\7668.tmp\7669.bat <Полный путь к файлу>" (со скрытым окном)
  • '<SYSTEM32>\net1.exe' user 22749 4188 /add
  • '<SYSTEM32>\net1.exe' user 25145 22854 /add
  • '<SYSTEM32>\net1.exe' user 27940 18853 /add
  • '<SYSTEM32>\net1.exe' user 8771 27321 /add
  • '<SYSTEM32>\net1.exe' user 1106 24776 /add
  • '<SYSTEM32>\net1.exe' user 2328 27331 /add
  • '<SYSTEM32>\net1.exe' user 11917 3697 /add
  • '<SYSTEM32>\net1.exe' user 26317 28649 /add
  • '<SYSTEM32>\net1.exe' user 15340 23607 /add
  • '<SYSTEM32>\net1.exe' user 4239 17804 /add
  • '<SYSTEM32>\net1.exe' user 15220 14930 /add
  • '<SYSTEM32>\net1.exe' user 32359 2251 /add
  • '<SYSTEM32>\net1.exe' user 23457 27467 /add
  • '<SYSTEM32>\net1.exe' user 18748 22600 /add
  • '<SYSTEM32>\net1.exe' user 3382 18977 /add
  • '<SYSTEM32>\net1.exe' user 30407 28693 /add
  • '<SYSTEM32>\net1.exe' user 24026 32305 /add
  • '<SYSTEM32>\cmd.exe' /K bsod.cmd
  • '<SYSTEM32>\net.exe' user user /delete
  • '<SYSTEM32>\net1.exe' user user /delete
  • '<SYSTEM32>\scrnsave.scr' /s
  • '<SYSTEM32>\net1.exe' user 375 20517 /add
  • '<SYSTEM32>\attrib.exe' +h +s 1.vbs
  • '<SYSTEM32>\net1.exe' user 15070 7277 /add
  • '<SYSTEM32>\mode.com' 1000
  • '<SYSTEM32>\wbem\wmic.exe' diskdrive get size
  • '<SYSTEM32>\wbem\wmic.exe' cpu get name
  • '<SYSTEM32>\systeminfo.exe'
  • '<SYSTEM32>\net1.exe' user 17004 9176 /add
  • '<SYSTEM32>\netsh.exe' wlan show profiles
  • '<SYSTEM32>\ipconfig.exe'
  • '<SYSTEM32>\find.exe' /i "IPv4"
  • '<SYSTEM32>\tskill.exe' /A norton*
  • '<SYSTEM32>\net1.exe' user 23737 28329 /add
  • '<SYSTEM32>\net1.exe' user 8191 2658 /add
  • '<SYSTEM32>\net1.exe' user 23140 16519 /add
  • '<SYSTEM32>\net1.exe' user 16535 18995 /add
  • '<SYSTEM32>\net1.exe' user 27752 29528 /add
  • '<SYSTEM32>\net1.exe' user 21964 18649 /add
  • '<SYSTEM32>\net1.exe' user 24550 19410 /add
  • '<SYSTEM32>\net1.exe' user 11353 29265 /add
  • '<SYSTEM32>\attrib.exe' +h +s bsod.cmd
  • '<SYSTEM32>\net1.exe' user 26859 31138 /add
  • '<SYSTEM32>\net1.exe' user 13278 31564 /add
  • '<SYSTEM32>\net1.exe' user 21424 31659 /add
  • '<SYSTEM32>\net1.exe' user 30899 18781 /add
  • '<SYSTEM32>\net1.exe' user 19465 16952 /add
  • '<SYSTEM32>\net1.exe' user 4223 20704 /add
  • '<SYSTEM32>\net1.exe' user 8697 14639 /add
  • '<SYSTEM32>\net1.exe' user 12233 7141 /add
  • '<SYSTEM32>\attrib.exe' +h +s 2.vbs
  • '<SYSTEM32>\net1.exe' user 18224 10341 /add
  • '<SYSTEM32>\net1.exe' user 4686 9067 /add
  • '<SYSTEM32>\net1.exe' user 32033 13933 /add
  • '<SYSTEM32>\net1.exe' user 24146 9592 /add
  • '<SYSTEM32>\net1.exe' user 9461 13154 /add
  • '<SYSTEM32>\net1.exe' user 32355 9141 /add
  • '<SYSTEM32>\net1.exe' user 9517 32559 /add
  • '<SYSTEM32>\net1.exe' user 13596 17318 /add
  • '<SYSTEM32>\net1.exe' user 11186 27072 /add
  • '<SYSTEM32>\net1.exe' user 9994 17405 /add
  • '<SYSTEM32>\net1.exe' user 15393 7818 /add
  • '<SYSTEM32>\net1.exe' user 32670 22948 /add
  • '<SYSTEM32>\net1.exe' user 20802 8461 /add
  • '<SYSTEM32>\net1.exe' user 30379 11267 /add
  • '<SYSTEM32>\net1.exe' user 6615 21879 /add
  • '<SYSTEM32>\net1.exe' user 13056 3007 /add
  • '<SYSTEM32>\net1.exe' user 32221 9190 /add
  • '<SYSTEM32>\attrib.exe' +h +s 9K21JM10B.log
  • '<SYSTEM32>\tskill.exe' /A offg*
  • '<SYSTEM32>\tskill.exe' /A norm*
  • '<SYSTEM32>\tskill.exe' /A F-*
  • '<SYSTEM32>\tskill.exe' /A ESAFE
  • '<SYSTEM32>\tskill.exe' /A cle
  • '<SYSTEM32>\tskill.exe' /A BLACKICE
  • '<SYSTEM32>\tskill.exe' /A OUTPOST
  • '<SYSTEM32>\net1.exe' stop ??ecurity Center??
  • '<SYSTEM32>\tskill.exe' /A nav*
  • '<SYSTEM32>\tskill.exe' /A def*
  • '<SYSTEM32>\tskill.exe' /A aswupdsv
  • '<SYSTEM32>\tskill.exe' /A ewid*
  • '<SYSTEM32>\tskill.exe' /A guard*
  • '<SYSTEM32>\tskill.exe' /A guar*
  • '<SYSTEM32>\tskill.exe' /A kav
  • '<SYSTEM32>\tskill.exe' /A avg*
  • '<SYSTEM32>\tskill.exe' /A ash*
  • '<SYSTEM32>\net1.exe' user 5392 25531 /add
  • '<SYSTEM32>\tskill.exe' /A gcasDt*
  • '<SYSTEM32>\tskill.exe' /A KAV*
  • '<SYSTEM32>\tskill.exe' /A PersFw
  • '<SYSTEM32>\tskill.exe' /A bullguard
  • '<SYSTEM32>\tskill.exe' /A spy*
  • '<SYSTEM32>\tskill.exe' /A anti*
  • '<SYSTEM32>\tskill.exe' /A fire*
  • '<SYSTEM32>\tskill.exe' /A av*
  • '<SYSTEM32>\tskill.exe' /A SAFEWEB
  • '<SYSTEM32>\reg.exe' add hkey_current_usersoftwaremicrosoftwindowscurrentve rsionrun /v CONTROLexit /t reg_sz /d c:windowswimn32.bat /f
  • '<SYSTEM32>\reg.exe' add hkey_local_machinesoftwaremicrosoftwindowscurrentv ersionrun /v WINDOWsAPI /t reg_sz /d c:windowswimn32.bat /f
  • '<SYSTEM32>\cmd.exe' /c "%TEMP%\7D4A.tmp\7D4B.tmp\7D4C.bat <Полный путь к файлу> Restarted" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /C "<Полный путь к файлу>" Restarted
  • '<SYSTEM32>\cmd.exe' /S /D /c" echo N"
  • '<SYSTEM32>\cmd.exe' /S /D /c" start "" /WAIT cmd.exe /C "<Полный путь к файлу>" Restarted 1>NUL"
  • '<SYSTEM32>\cacls.exe' "<SYSTEM32>\config\system"
  • '<SYSTEM32>\tskill.exe' /A ZONEALARM
  • '<SYSTEM32>\net1.exe' user 7468 17034 /add
  • '<SYSTEM32>\tskill.exe' /A msmp*
  • '<SYSTEM32>\tskill.exe' /A msiexec
  • '<SYSTEM32>\tskill.exe' /A pav*
  • '<SYSTEM32>\tskill.exe' /A padmin
  • '<SYSTEM32>\tskill.exe' /A panda*
  • '<SYSTEM32>\tskill.exe' /A avsch*
  • '<SYSTEM32>\tskill.exe' /A sche*
  • '<SYSTEM32>\tskill.exe' /A mcafe*
  • '<SYSTEM32>\tskill.exe' /A pop*
  • '<SYSTEM32>\tskill.exe' /A cpd*
  • '<SYSTEM32>\tskill.exe' /A sweep*
  • '<SYSTEM32>\tskill.exe' /A scan*
  • '<SYSTEM32>\tskill.exe' /A ad-*
  • '<SYSTEM32>\tskill.exe' /A safe*
  • '<SYSTEM32>\tskill.exe' /A avas*
  • '<SYSTEM32>\tskill.exe' /A syman*
  • '<SYSTEM32>\tskill.exe' /A realm*
  • '<SYSTEM32>\tskill.exe' /A mghtml
  • '<SYSTEM32>\tskill.exe' /A virus*
  • '<SYSTEM32>\tskill.exe' /A nv*
  • '<SYSTEM32>\tskill.exe' /A isafe
  • '<SYSTEM32>\tskill.exe' /A zap*
  • '<SYSTEM32>\tskill.exe' /A zauinst
  • '<SYSTEM32>\tskill.exe' /A upd*
  • '<SYSTEM32>\tskill.exe' /A minilog
  • '<SYSTEM32>\tskill.exe' /A tmp*
  • '<SYSTEM32>\tskill.exe' /A pcc*
  • '<SYSTEM32>\tskill.exe' /A tmn*
  • '<SYSTEM32>\tskill.exe' /A ccc*
  • '<SYSTEM32>\tskill.exe' /A npfmn*
  • '<SYSTEM32>\tskill.exe' /A loge*
  • '<SYSTEM32>\tskill.exe' /A nisum*
  • '<SYSTEM32>\tskill.exe' /A issvc
  • '<SYSTEM32>\tskill.exe' /A cc*
  • '<SYSTEM32>\tskill.exe' /A norton au*
  • '<SYSTEM32>\net1.exe' user 25715 8399 /add

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play