Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner.52186
Добавлен в вирусную базу Dr.Web:
2011-06-21
Описание добавлено:
2011-06-22
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Logon' = '\Application Data\WINDOWS\CSRSS.EXE'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System Monitoring' = '\Application Data\WINDOWS\LSASS.EXE'
[<HKLM>\SOFTWARE\Classes\VBEFile\Shell\Open\Command] '' = '%WINDIR%\serviks.exe'
[<HKLM>\SOFTWARE\Classes\comfile\shell\open\command] '' = '%WINDIR%\serviks.exe'
[<HKLM>\SOFTWARE\Classes\VBSFile\Shell\Open\Command] '' = '%WINDIR%\serviks.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Run32dll' = '<SYSTEM32>\run32dll.exe'
[<HKLM>\SYSTEM\ControlSet001\Control\Session Manager] 'BootExecute' = '%WINDIR%\serviks.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Serviks' = '<SYSTEM32>\serviks.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Back Up Disk' = '<Имя диска съемного носителя>:\disk32dll.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Setup' = '%WINDIR%\setup.exe'
[<HKLM>\SOFTWARE\Classes\batfile\shell\open\command] '' = '%WINDIR%\serviks.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Service' = '%WINDIR%\\Application Data\WINDOWS\SERVICES.EXE'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Logon' = '%WINDIR%\\Application Data\WINDOWS\CSRSS.EXE'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MSMSGS' = '%WINDIR%\\Application Data\WINDOWS\WINLOGON.EXE'
[<HKCU>\Control Panel\Desktop] 'SCRNSAVE.EXE' = '<SYSTEM32>\COOLLM~1.SCR'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Serviks' = '%WINDIR%\serviks.exe'
[<HKLM>\SOFTWARE\Classes\piffile\shell\open\command] '' = '%WINDIR%\serviks.exe'
[<HKLM>\SOFTWARE\Classes\inifile\shell\open\command] '' = '%WINDIR%\serviks.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\IExplorer.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System Monitoring' = '%WINDIR%\\Application Data\WINDOWS\LSASS.EXE'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe "<SYSTEM32>\IExplorer.exe"'
Создает или изменяет следующие файлы:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\system.exe
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\McShield] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\McDetect.exe] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\SPBBCSvc] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\MSIServer] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\mcupdmgr.exe] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\McTskshd.exe] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\NSCService] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\NPFMntor] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\PugPlay] 'ImagePath' = '%SystemRoot%\system32\services.exe, %WINDIR%\svchost.exe '
[<HKLM>\SYSTEM\ControlSet001\Services\SPBBCDrv] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\SNDSrvc] 'ImagePath' = '%WINDIR%\serviks.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\SAVScan] 'ImagePath' = '%WINDIR%\serviks.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\Autorun.inf
<Имя диска съемного носителя>:\Fuck Of Malingsia.txt
<Имя диска съемного носителя>:\disk32dll.exe
<Имя диска съемного носителя>:\Lirik Lagu.doc
<Имя диска съемного носителя>:\msvbvm60.dll
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
скрытых файлов
расширений файлов
блокирует запуск следующих системных утилит:
Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)
блокирует:
Компонент восстановления системы (SR)
Изменяет следующие настройки проводника Windows (Windows Explorer):
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFind' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoTrayContextMenu' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoViewContextMenu' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000000'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] 'NoFolderOptions' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000001'
Изменяет следующие настройки браузера Windows Internet Explorer:
[<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'Serviks Explorer'
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
C:\Lirik Lagu.doc
C:\msvbvm60.dll
C:\disk32dll.exe
<SYSTEM32>\Driver\Printer\LX300\CPL.ico
<SYSTEM32>\Driver\Printer\LX300\ppt.ico
<SYSTEM32>\Driver\Printer\LX300\pps.ico
<SYSTEM32>\Driver\Printer\LX300\pdf.ico
C:\Autorun.inf
%WINDIR%\serviks.exe
<SYSTEM32>\run32dll.exe
%ALLUSERSPROFILE%\Desktop\Foto Bugil.scr
<SYSTEM32>\serviks.exe
C:\Fuck Of Malingsia.txt
%WINDIR%\setup.exe
%WINDIR%\screen.scr
<SYSTEM32>\Driver\Printer\LX300\mdb.ico
<SYSTEM32>\Driver\Printer\LX300\mp3.ico
<SYSTEM32>\Driver\Printer\LX300\rar.ico
<SYSTEM32>\Driver\Printer\LX300\jpg.ico
<SYSTEM32>\Driver\Printer\LX300\setup.ico
<SYSTEM32>\Driver\Printer\LX300\doc.ico
<SYSTEM32>\Driver\Printer\LX300\xls.ico
<SYSTEM32>\Driver\Printer\LX300\com.ico
<SYSTEM32>\Driver\Printer\LX300\gif.ico
<SYSTEM32>\Driver\Printer\LX300\dat.ico
<SYSTEM32>\Driver\Printer\LX300\3gp.ico
<SYSTEM32>\Driver\Printer\LX300\zip.ico
<SYSTEM32>\Driver\Printer\LX300\avi.ico
<SYSTEM32>\Driver\Printer\LX300\Folder.ico
<SYSTEM32>\Driver\Printer\LX300\htm.ico
<SYSTEM32>\Driver\Printer\LX300\txt.ico
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\msvbvm60.dll
<Имя диска съемного носителя>:\Lirik Lagu.doc
<Имя диска съемного носителя>:\Autorun.inf
<Имя диска съемного носителя>:\disk32dll.exe
C:\msvbvm60.dll
C:\Lirik Lagu.doc
C:\Autorun.inf
C:\disk32dll.exe
Другое:
Ищет следующие окна:
ClassName: 'Indicator' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK