http://www.virustotal.com/file-scan/report.html?id=5d964d0c08abf9332958bb6ff085662f9fd387b72890819c3490afb666b1c825-1318523619
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081
+7 (981) 124 76 59
+7 (911) 950 87 23
-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
В данном случае имя файла C:\WINDOWS\Temp\iefl.exe
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081
+7 (981) 124 76 59
+7 (911) 950 87 23
Особенности заражения этим видом Винлока.
-У этого баннера нет кода разблокировки.-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
В данном случае имя файла C:\WINDOWS\Temp\iefl.exe
2 комментария:
как от него избавиться по нормальному?
а инструкцию почитать никак?
из под лайфсд..загрузить куст
Отправить комментарий