Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.StartPage.37941

Добавлен в вирусную базу Dr.Web: 2011-07-24

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Pwner' = '%WINDIR%\Main.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\Main.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
  • [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
  • <SYSTEM32>\attrib.exe +h c:\msg.vbs
  • <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start page" /d "Enabled !" /f
  • <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\Main.exe /f
  • <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
  • <SYSTEM32>\attrib.exe +r +a +s +h <SYSTEM32>
  • <SYSTEM32>\wscript.exe "c:\msg.vbs"
  • <SYSTEM32>\rundll32.exe user32,SwapMouseButton
  • <SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
  • <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\Main.bat""
  • <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\Main.exe /f
  • <SYSTEM32>\taskkill.exe /f /im Enabled !
  • <SYSTEM32>\netsh.exe firewall set opmode disable
Изменяет следующие настройки проводника Windows (Windows Explorer):
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\1792.4465
  • <SYSTEM32>\30174.11660
  • %WINDIR%\18195.10875
  • <SYSTEM32>\21233.28733
  • %WINDIR%\12533.12478
  • <SYSTEM32>\17398.13510
  • %WINDIR%\31837.19245
  • <SYSTEM32>\23355.14152
  • %WINDIR%\14382.10254
  • <SYSTEM32>\7317.16063
  • %WINDIR%\13425.27773
  • <SYSTEM32>\24427.15060
  • %WINDIR%\6822.681
  • <SYSTEM32>\27195.4840
  • %WINDIR%\41.12861
  • <SYSTEM32>\30344.23629
  • %WINDIR%\1682.28347
  • <SYSTEM32>\21576.4280
  • %WINDIR%\3627.917
  • <SYSTEM32>\30246.25028
  • %WINDIR%\18614.4655
  • <SYSTEM32>\1993.2588
  • %WINDIR%\32400.19518
  • <SYSTEM32>\7757.20151
  • %WINDIR%\9001.10862
  • <SYSTEM32>\9663.25503
  • %WINDIR%\13296.21965
  • <SYSTEM32>\23426.19202
  • %WINDIR%\21005.29693
  • <SYSTEM32>\489.29217
  • %WINDIR%\30262.31051
  • <SYSTEM32>\22939.32049
  • %WINDIR%\336.13050
  • <SYSTEM32>\491.14728
  • %WINDIR%\73.2072
  • <SYSTEM32>\4518.25915
  • %WINDIR%\24623.31465
  • <SYSTEM32>\982.16356
  • %WINDIR%\22007.26043
  • <SYSTEM32>\2612.16041
  • %WINDIR%\9244.29180
  • <SYSTEM32>\25519.1133
  • %WINDIR%\8006.10283
  • <SYSTEM32>\13136.3994
  • %WINDIR%\29693.17342
  • <SYSTEM32>\32031.13452
  • %WINDIR%\29578.6512
  • <SYSTEM32>\1803.18566
  • %WINDIR%\19760.7657
  • <SYSTEM32>\12260.15927
  • %WINDIR%\30741.4267
  • <SYSTEM32>\22090.29050
  • %WINDIR%\11426.28755
  • <SYSTEM32>\791.15433
  • %WINDIR%\28773.17317
  • <SYSTEM32>\3864.24918
  • %WINDIR%\6772.11567
  • <SYSTEM32>\22565.16177
  • %WINDIR%\18674.24497
  • <SYSTEM32>\27996.17619
  • C:\18145.txt
  • C:\14424.txt
  • C:\5897.txt
  • C:\10394.txt
  • C:\9317.txt
  • C:\1275.txt
  • C:\22923.txt
  • C:\5381.txt
  • C:\1588.txt
  • C:\26061.txt
  • C:\5063.txt
  • C:\29390.txt
  • C:\7021.txt
  • C:\22138.txt
  • C:\16084.txt
  • C:\13264.txt
  • C:\12240.txt
  • C:\23056.txt
  • C:\4737.txt
  • %TEMP%\1.tmp\Main.bat
  • C:\205.txt
  • C:\6291.txt
  • C:\30484.txt
  • C:\18585.txt
  • C:\2883.txt
  • C:\10434.txt
  • C:\20054.txt
  • C:\1931.txt
  • C:\2655.txt
  • C:\21526.txt
  • %WINDIR%\30486.31019
  • <SYSTEM32>\28421.10328
  • %WINDIR%\15913.16391
  • <SYSTEM32>\833.17953
  • C:\8195.txt
  • C:\15475.txt
  • C:\msg.vbs
  • <SYSTEM32>\5738.19833
  • %WINDIR%\7787.11267
  • <SYSTEM32>\5357.20556
  • %WINDIR%\31303.27834
  • <SYSTEM32>\9335.16535
  • %WINDIR%\20248.5510
  • <SYSTEM32>\24905.24073
  • %WINDIR%\20513.26491
  • C:\17822.txt
  • C:\32422.txt
  • C:\24050.txt
  • C:\7937.txt
  • C:\27813.txt
  • C:\24673.txt
  • C:\10723.txt
  • C:\15972.txt
  • C:\14904.txt
  • C:\23243.txt
  • C:\10247.txt
  • C:\17174.txt
  • C:\23473.txt
  • C:\18358.txt
  • C:\32596.txt
Присваивает атрибут 'скрытый' для следующих файлов:
  • C:\msg.vbs
Удаляет следующие файлы:
  • %TEMP%\1.tmp\Main.bat
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке