Trojan-Dropper.Win32.VB.bdbg

http://www.virustotal.com/file-scan/report.html?id=4e7d64799126f0e830d6b653119015454bda44741bc5aedc9dbf26a1937a198a-1318177304
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081

Особенности заражения этим видом Винлока.

-У этого баннера нет кода разблокировки.
-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe" 

В данном случае имя файла C:\WINDOWS\Temp\iefl.exe

+7 (911) 950 89 25
+7 (911) 729 40 75
+7 (911) 164 16 69
+7 (911) 950 89 25
+7 (911) 729 40 75

+7 (911) 164 18 41
+7 (911) 164 16 73
+7 (911) 941 30 37
+7 (911) 164 18 41
+7 (911) 164 16 73


нет кода разблокировки