Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLW.Cent

(Generic PWS.y, Trojan:Win32/Trufip!rts, TR/Dldr.Delf.afb.2, Trojan.Spy.Agent.NFG, Trojan.Win32.Agent.abt, TSPY_DELF.IHV, Win32.HLLW.Cent, Trojan-Spy.Win32.Delf.vm, TR/Hijack.Explor.1083, Backdoor.Win32.Bifrose.xrv, BackDoor.Bifrose.GEN, Backdoor.Hupigon.21285, GenPack:Backdoor.Bifrose.ADR, New Malware.bj, Downloader.Generic_c.CT, PSW.Generic4.QMS, Trojan-Downloader.Win32.Obfuscated.aw, Worm.Win32.RJump.d, Backdoor.Hupigon.25184)

Добавлен в вирусную базу Dr.Web: 2007-01-22

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер: 49 242 байта, 22 016 байт

Упакован: NPACK

Техническая информация

  • При своём запуске создаёт файлы RavMon.exe (49 242 байта) и autorun.inf в корневом каталоге диска С:\, \%WINDIR%\MDM.EXE (22 016 байт) с атрибутом "Скрытый".
  • Для обеспечения своего запуска при каждом старте Windows модифицирует секцию автозагрузки системного реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    SVCHOST = "C:\WINDOWS\MDM.EXE"

  • Модифицирует системный реестр таким образом, чтобы в Проводнике не отображались файлы с атрибутом "Скрытые", тем самым затрудняя поиск файлов-носителей Win32.HLLW.Cent.
  • Устанавливает значение "Drive" в секции реестра:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{93ea271c-90e9-11db-ad91-806d6172696f}\BaseClass

    Информация по восстановлению системы

    1. Скачать с заведома незаражённого компьютера бесплатную лечащую утилиту Dr.Web CureIt! и записать его на внешний носитель - CD-R(W)
    2. Отмонтировать все flash-устройства, подключённые к инфицированному компьютеру.
    3. Просканировать инфицированный компьютер Dr.Web CureIt!, преварительно перезагрузив его в Безопасный режим (F8 при старте Windows). Для найденных объектов применить действие "Лечить". Затем повторить процедуру сканирования и лечения для flash-устройств.
    4. Открыть редактор реестра Regedit (Пуск -> Выполнить -> regedit)
    5. Удалить ветвь
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{93ea271c-90e9-11db-ad91-806d6172696f}\BaseClass
    6. Присвоить значение
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    "CheckedValue"=1

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    "Hidden"=1

    7. Перезагрузить компьютер.