Как-то забыл сюда добавить описание этого винлока.
Инструкция как его удалить уже давно есть в сети http://rghost.ru/9324771
-Код разблокировки отсутствует. Автор его просто не делал. Так что отправлять мошенникам деньги безсмысленно.
-Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины).
А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
-Также троян подменяет файлы
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
-Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
-В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
-Очень часто идет на пару с Backdoor.Butirat
C:\Documents and Settings\All Users\Application Data\netprotocol.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"
-Файл C:\Windows\System32\userinit.exe как правило не заменяется,т.к. не хватает прав
-Копирует себя сюда C:\ProgramData\22CC6C32.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\ProgramData\22CC6C32.exe "
Инструкция как его удалить уже давно есть в сети http://rghost.ru/9324771
Особенности
заражения этим видом Винлока.
XP
-Код разблокировки отсутствует. Автор его просто не делал. Так что отправлять мошенникам деньги безсмысленно.
-Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины).
А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
-Также троян подменяет файлы
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
-Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
-В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
-Очень часто идет на пару с Backdoor.Butirat
C:\Documents and Settings\All Users\Application Data\netprotocol.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"
Windows 7/Vista
-Файл C:\Windows\System32\userinit.exe как правило не заменяется,т.к. не хватает прав
-Копирует себя сюда C:\ProgramData\22CC6C32.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\ProgramData\22CC6C32.exe "
Комментариев нет:
Отправить комментарий