Re: iPhone Backup Extractor - извлечение данных из резервных копий iTunes
#4
Для тех кто успел заразиться
Описание действий трояна
Создаются файлы:
Цитата:
C:\Program Files\Desk 365\deskSvc.exe
C:\Documents and Settings\All Users\Application Data\eSafe\eGdpSvc.exe
C:\Program Files\WebCake\WebCakeDesktop.Updater.exe
C:\Documents and Settings\root\Application Data\WebCake\WebCakeDesktop.exe
C:\Documents and Settings\root\Application Data\desktopy.ru
C:\Documents and Settings\root\Application Data\desktopy
|
Создаются службы
Цитата:
deskSvc
eSafeSvc
WebCake Desktop Updater
|
в папке Windows/Tasks/ создаются назначенные задания
Создаются ключи реестра
Цитата:
|
LOCALMACHINE\SOFTWARE\qvo6Software\
|
В ключах автозапуска в реестре создаётся
Цитата:
wextract_cleanup0 = rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\root\LOCALS~1\Temp\IXP000.TMP\"
WebCake Desktop = C:\Documents and Settings\root\Application Data\WebCake\WebCakeDesktop.exe
desktopy = "C:\Documents and Settings\root\Application Data\desktopy.ru\desktopy.exe" is_autoruned
|
[свернуть]
Добавлено:
Вообще можно попробовать всё поудалять "легально"
В ключе "LOCALMACHINE/Windows/CurrentVersion/Uninstall" можно попробовать поискать подключи с параметрами "DisplayName" равными
Цитата:
WebCake 3.00
Software Version Updater
desktopy
desktopy.ru
Desk 365
eSafe Security Control 1.0.0.2522
|
В каждом найденном ключе должен быть пункт UninstallString - там будет лежать путь для деинсталлятора
Ну и не забудьте почистить папку "Temp" и папку "Temporary Internet Files"