Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Siggen32.63208
Добавлен в вирусную базу Dr.Web:
2026-07-07
Описание добавлено:
2026-07-08
Техническая информация
Вредоносные функции
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
%TEMP%\cebs_39638a6a.cmd
nul
%ALLUSERSPROFILE%\microsoft\windows\wer\temp\wer7309.tmp.werinternalmetadata.xml
%ALLUSERSPROFILE%\microsoft\windows\wer\temp\wer74cf.tmp.xml
<SYSTEM32>\config\systemprofile\appdata\local\microsoft\credentials\dfbe70a7e5cc19a398ebf1b96859ce5d
%LOCALAPPDATA%\microsoft\credentials\dfbe70a7e5cc19a398ebf1b96859ce5d
%ALLUSERSPROFILE%\microsoft\windows\wer\reportarchive\critical_powershell.exe_9bb04c73bca7d36de36edba920de1a4477c3a568_00000000_4d9acef4-1cda-4a84-acdc-e42b84901f35\report.wer
Удаляет файлы, которые сам же создал
%LOCALAPPDATA%\microsoft\credentials\dfbe70a7e5cc19a398ebf1b96859ce5d
%ALLUSERSPROFILE%\microsoft\windows\wer\temp\wer7309.tmp.werinternalmetadata.xml
%ALLUSERSPROFILE%\microsoft\windows\wer\temp\wer74cf.tmp.xml
Подменяет следующие файлы
%LOCALAPPDATA%\microsoft\credentials\dfbe70a7e5cc19a398ebf1b96859ce5d
Сетевая активность
Подключается к
'umwatson.events.data.microsoft.com':443
TCP
Другие
'umwatson.events.data.microsoft.com':443
UDP
DNS ASK lo###.live.com
DNS ASK cl######nfig.passport.net
Другое
Запускает на исполнение
'%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\cebs_39638a6a.cmd"
'%WINDIR%\syswow64\net.exe' session
'%WINDIR%\syswow64\net1.exe' session
'%WINDIR%\syswow64\sc.exe' stop "SysMain"
'%WINDIR%\syswow64\sc.exe' config "SysMain" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "Superfetch"
'%WINDIR%\syswow64\sc.exe' config "Superfetch" start=disabled
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters" /v EnableSuperfetch /t REG_DWORD /d 0 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters" /v EnablePrefetcher /t REG_DWORD /d 0 /f
'%WINDIR%\syswow64\sc.exe' stop "WSearch"
'%WINDIR%\syswow64\sc.exe' config "WSearch" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "DiagTrack"
'%WINDIR%\syswow64\sc.exe' config "DiagTrack" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "diagnosticshub.standardcollector.service"
'%WINDIR%\syswow64\sc.exe' config "diagnosticshub.standardcollector.service" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "DPS"
'%WINDIR%\syswow64\sc.exe' config "DPS" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "dmwappushservice"
'%WINDIR%\syswow64\sc.exe' config "dmwappushservice" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "CDPSvc"
'%WINDIR%\syswow64\sc.exe' config "CDPSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "PcaSvc"
'%WINDIR%\syswow64\sc.exe' config "PcaSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "NvTelemetryContainer"
'%WINDIR%\syswow64\sc.exe' config "NvTelemetryContainer" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "WerSvc"
'%WINDIR%\syswow64\sc.exe' config "WerSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "Spooler"
'%WINDIR%\syswow64\sc.exe' config "Spooler" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "DoSvc"
'%WINDIR%\syswow64\sc.exe' config "DoSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "BITS"
'%WINDIR%\syswow64\sc.exe' config "BITS" start=demand
'%WINDIR%\syswow64\sc.exe' stop "TabletInputService"
'%WINDIR%\syswow64\sc.exe' config "TabletInputService" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "MapsBroker"
'%WINDIR%\syswow64\sc.exe' config "MapsBroker" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "iphlpsvc"
'%WINDIR%\syswow64\sc.exe' config "iphlpsvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "WMPNetworkSvc"
'%WINDIR%\syswow64\sc.exe' config "WMPNetworkSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "wisvc"
'%WINDIR%\syswow64\sc.exe' config "wisvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "RetailDemo"
'%WINDIR%\syswow64\sc.exe' config "RetailDemo" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "WpcMonSvc"
'%WINDIR%\syswow64\sc.exe' config "WpcMonSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "PhoneSvc"
'%WINDIR%\syswow64\sc.exe' config "PhoneSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "SEMgrSvc"
'%WINDIR%\syswow64\sc.exe' config "SEMgrSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "SharedAccess"
'%WINDIR%\syswow64\sc.exe' config "SharedAccess" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "lfsvc"
'%WINDIR%\syswow64\sc.exe' config "lfsvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "FrameServer"
'%WINDIR%\syswow64\sc.exe' config "FrameServer" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "CscService"
'%WINDIR%\syswow64\sc.exe' config "CscService" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "wlidsvc"
'%WINDIR%\syswow64\sc.exe' config "wlidsvc" start=demand
'%WINDIR%\syswow64\sc.exe' stop "TokenBroker"
'%WINDIR%\syswow64\sc.exe' config "TokenBroker" start=demand
'%WINDIR%\syswow64\sc.exe' stop "SCardSvr"
'%WINDIR%\syswow64\sc.exe' config "SCardSvr" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "ScDeviceEnum"
'%WINDIR%\syswow64\sc.exe' config "ScDeviceEnum" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "RemoteRegistry"
'%WINDIR%\syswow64\sc.exe' config "RemoteRegistry" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "RasMan"
'%WINDIR%\syswow64\sc.exe' config "RasMan" start=demand
'%WINDIR%\syswow64\sc.exe' stop "Fax"
'%WINDIR%\syswow64\sc.exe' config "Fax" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "XblAuthManager"
'%WINDIR%\syswow64\sc.exe' config "XblAuthManager" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "XblGameSave"
'%WINDIR%\syswow64\sc.exe' config "XblGameSave" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "XboxGipSvc"
'%WINDIR%\syswow64\sc.exe' config "XboxGipSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "XboxNetApiSvc"
'%WINDIR%\syswow64\sc.exe' config "XboxNetApiSvc" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "AXInstSV"
'%WINDIR%\syswow64\sc.exe' config "AXInstSV" start=disabled
'%WINDIR%\syswow64\sc.exe' stop "bthserv"
'%WINDIR%\syswow64\sc.exe' config "bthserv" start=disabled
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Disable-MMAgent -MemoryCompression"
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v DisablePageCombining /t REG_DWORD /d 1 /f
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "$protected = @('r5apex','python','pythonw','explorer','csrss','smss','wininit','services','lsass','svchost','dwm','System'); Get-Process | Where-Object { $_.ProcessName -notin $protec...
'%WINDIR%\syswow64\wermgr.exe' "-outproc" "0" "2000" "2424" "2396" "2428" "0" "0" "2432" "0" "0" "0" "0" "0"
'%WINDIR%\syswow64\wbem\wmic.exe' computersystem where name="hgbhjupc" set AutomaticManagedPagefile=False
'%WINDIR%\syswow64\cmd.exe' /c powershell -Command "[math]::Floor((Get-CimInstance Win32_ComputerSystem).TotalPhysicalMemory / 1MB)"
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "[math]::Floor((Get-CimInstance Win32_ComputerSystem).TotalPhysicalMemory / 1MB)"
'%WINDIR%\syswow64\wbem\wmic.exe' pagefileset where "name='C:\\pagefile.sys'" delete
'%WINDIR%\syswow64\wbem\wmic.exe' pagefileset create name="C:\pagefile.sys"
'%WINDIR%\syswow64\wbem\wmic.exe' pagefileset where "name='C:\\pagefile.sys'" set InitialSize=4096,MaximumSize=8192
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v DisablePagingExecutive /t REG_DWORD /d 1 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v LargeSystemCache /t REG_DWORD /d 0 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v ClearPageFileAtShutdown /t REG_DWORD /d 1 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v SecondLevelDataCache /t REG_DWORD /d 1024 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\FileSystem" /v NtfsDisable8dot3NameCreation /t REG_DWORD /d 1 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\FileSystem" /v NtfsMemoryUsage /t REG_DWORD /d 2 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\FileSystem" /v NtfsDisableLastAccessUpdate /t REG_DWORD /d 80000003 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\WindowsStore" /v AutoDownload /t REG_DWORD /d 2 /f
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "vssadmin resize shadowstorage /for=C: /on=C: /maxsize=1GB"
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK