[Избавление от вирусов ]
Главная » Статьи » Защита » Вирусы

Вирус - Trojan.PWS.Siggen

На ваш компьютер попал вирус Trojan.PWS.Siggen вы уверены что это именно Trojan.PWS.Siggen и не знаете как его удалить, то вот инструкция по удалению Trojan.PWS.Siggen.

Рекомендации по восстановлению системы

  1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
  2. В случае если не получается войти в Безопасном режиме (Safe Mode), то воспользуйтесь LiveCD виртуальной системой с флешки или загрузочного диска.
  3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
  4. Если это не помогает, то попробуйте сделать восстановление системы воспользовавшись этой инструкцией по восстановлению системы

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

Модификации вируса Trojan.PWS.Siggen

Техническая информация

 

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Classes\odfile\shell\open\command] ” = ‘explorer /n,”%PROGRAM_FILES%\T%H”‘
  • [<HKLM>\SOFTWARE\Classes\omfile\shell\open\command] ” = ‘explorer /n,”%PROGRAM_FILES%\%H”‘
Вредоносные функции:
Создает и запускает на исполнение:
  • %TEMP%\nsw2.tmp\ns3.tmp c:\0211.bat
Запускает на исполнение:
  • %WINDIR%\regedit.exe /s "%WINDIR%\Installer\0211.reg”
  • <SYSTEM32>\cmd.exe /c c:\0211.bat
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
  • [<HKCU>\Software\FlashFXP]
Изменяет следующие настройки проводника Windows (Windows Explorer):
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] ‘NoInternetIcon’ = ’00000001′
Изменения в файловой системе:
Создает следующие файлы:
  • %HOMEPATH%\Templates021111uoi.txt
  • %HOMEPATH%\Templates\021111\uoi.txt
  • %PROGRAM_FILES%\0\Desktop.ini
  • %HOMEPATH%\Desktop\Internat Exlparor.om
  • %TEMP%\nsw2.tmp\AccessControl.dll
  • %WINDIR%\Installer\0211.reg
  • C:\0211.bat
  • %TEMP%\nsw2.tmp\System.dll
  • %TEMP%\nsw2.tmp\nsExec.dll
  • %WINDIR%\Installer\310f0.msi
  • %TEMP%\nsw2.tmp\ns3.tmp
Присваивает атрибут ‘скрытый’ для следующих файлов:
  • %PROGRAM_FILES%\0\Desktop.ini
Удаляет следующие файлы:
  • %TEMP%\nsw2.tmp\ns3.tmp
Другое:
Ищет следующие окна:
  • ClassName: ‘Progman’ WindowName: ‘Program Manager’
  • ClassName: ‘RegEdit_RegEdit’ WindowName: ”
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‘MozillaAgent’ = ‘<Полный путь к вирусу>’
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
  • [<HKCU>\Software\BPFTP\Bullet Proof FTP\Options]
  • [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Options]
  • [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Main]
  • [<HKLM>\Software\FlashFXP\3]
  • [<HKCU>\Software\BPFTP\Bullet Proof FTP\Main]
  • [<HKCU>\Software\BPFTP]
  • [<HKCU>\Software\South River Technologies\WebDrive\Connections]
  • [<HKCU>\Software\FTP Explorer\Profiles]
  • [<HKCU>\Software\FTPWare\COREFTP\Sites]
  • [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
  • [<HKCU>\Software\Sota\FFFTP\Options]
  • [<HKCU>\Software\Far2\SavedDialogHistory\FTPHost]
  • [<HKCU>\Software\Ghisler\Windows Commander]
  • [<HKCU>\Software\Far\SavedDialogHistory\FTPHost]
  • [<HKCU>\SOFTWARE\Far\Plugins\FTP\Hosts]
  • [<HKCU>\SOFTWARE\Far2\Plugins\FTP\Hosts]
  • [<HKCU>\Software\Ghisler\Total Commander]
  • [<HKCU>\Software\FlashFXP\3]
  • [<HKLM>\Software\FlashFXP]
  • [<HKCU>\Software\FlashFXP]
  • [<HKLM>\Software\Ghisler\Windows Commander]
  • [<HKLM>\Software\Ghisler\Total Commander]
Изменения в файловой системе:
Создает следующие файлы:
  • <DRIVERS>\npf.sys
  • <SYSTEM32>\wpcap.dll
  • <SYSTEM32>\Packet.dll
Сетевая активность:
Подключается к:
  • ‘localhost’:1045
  • ’17#.#1.204.32′:80
  • ’89.##7.121.6′:80
  • ’75.##.198.117′:80
  • ‘localhost’:1048
  • ’85.##0.148.33′:80
  • ‘localhost’:1036
  • ‘localhost’:1039
  • ‘localhost’:1042
  • ’68.#2.99.13′:80

Категория: Вирусы | Добавил: P@vel (10.12.2012)
Просмотров: 3323 | Комментарии: 1 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]