Вредоносные программы → Trojan.Wincod
Описание:
Trojan.Wincod - отображает разные сообщении и изменяет настройки, подставляя под угрозу инфицированный компьютер.
Тип вредоносной программы:
троян
ОС подверженные заражению:
Windows XP, Windows Vista, Windows Server 2003, Windows 2000
Уровень опасности:
низкий
Размер:
57,344 байт
Технические детали:
При запуске, создает файлы:
%ProgramFiles%\MediaSystem\1.gif
%ProgramFiles%\MediaSystem\wall.html
%ProgramFiles%\MediaSystem\wmptray.exe
Создает следующую запись реестра, для того чтобы запускатся автоматически при старте Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WmpTray" = "[ПУТЬ К ТРОЯНУ]"
Затем он создает запись реестра, которая открывает веб страницу, при попытке запускать диспетчер задач:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\"Debugger" = "http://wincodecpro.com/purchase.php?id=2"
Для того чтобы считать сколько раз был выполнен троян, он создает следующую запись реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO\"countr" = "[ЧИСЛО]"
Далее он создает следующие подразделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO
Отображает следующее сообщение:
Он может отображать следующие предупреждений в системном трее:
Как удалить Trojan.Wincod:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.
Trojan.Wincod - отображает разные сообщении и изменяет настройки, подставляя под угрозу инфицированный компьютер.
Тип вредоносной программы:
троян
ОС подверженные заражению:
Windows XP, Windows Vista, Windows Server 2003, Windows 2000
Уровень опасности:
низкий
Размер:
57,344 байт
Технические детали:
При запуске, создает файлы:
%ProgramFiles%\MediaSystem\1.gif
%ProgramFiles%\MediaSystem\wall.html
%ProgramFiles%\MediaSystem\wmptray.exe
Создает следующую запись реестра, для того чтобы запускатся автоматически при старте Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WmpTray" = "[ПУТЬ К ТРОЯНУ]"
Затем он создает запись реестра, которая открывает веб страницу, при попытке запускать диспетчер задач:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\"Debugger" = "http://wincodecpro.com/purchase.php?id=2"
Для того чтобы считать сколько раз был выполнен троян, он создает следующую запись реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO\"countr" = "[ЧИСЛО]"
Далее он создает следующие подразделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO
Отображает следующее сообщение:
Он может отображать следующие предупреждений в системном трее:
Как удалить Trojan.Wincod:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.
источник:
symantec.com
symantec.com