Trojan.WinREG.Noall

Материал из Total Malware Info

Trojan.WinREG.Noall Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Является файлом реестра Windows (REG-файл). Имеет размер 2063 байта.

Деструктивная активность

При импорте настроек реестра из файла программы происходят следующие изменения (указан ряд наиболее существенных из них):

1. Разрешение автозапуска неизвестных накопителей, сменных накопителей, сетевых дисков:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"="hex:95,00,00,00"

2. Запрет выключения компьютера с помощью команды "Выключить компьютер" в меню "Пуск", а также через нажатие клавиш Ctrl+Shift+Del:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose"="dword:00000001"

3. Скрытие пункта " Выполнить" главного меню "Пуск". Также происходит запрет просмотра локальных файлов с помощью ввода адреса или URL файла в поле адреса IE и отключение сочетания клавиш WIN+R:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"="dword:00000001"

4. Запрет завершения сеанса Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLogOff"="hex:01,00,00,00"

5. Удаление папок "Панель управления" и "Принтеры" из меню "Настройка":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetFolders"="dword:00000001"

6. Скрытие всех элементов на рабочем столе. Доступны только "Панель задач" и меню кнопки "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop"="dword:00000001"

7. Скрытие элементов для профиля "All Users" в меню "Пуск" (стиль ХР) пункт "Все программы":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoCommonGroups"="dword:00000001"

8. Скрытие значков, представляющие все диски, из папок "Мой компьютер" и "Проводник":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"="dword:03ffffff"

9. Скрытие пункта "Избранное" главного меню "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFavoritesMenu"="hex:01,00,00,00"

10. Скрытие пункта "'Найти" главного меню "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind"="dword:00000001"

11. Не сохранять параметры настройки при выходе:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"="dword:00000001"

12. Скрытие меню "Файл" в "Проводнике":

[HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFileMenu"="dword:00000001"

13. Скрытие значка "Сетевое окружение" на "Рабочем столе":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoNetHood"="dword:00000001"

14. Запрет создания и отображения ярлыков для недавно открывавшихся документов операционной системы и установленных программ:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"="dword:00000001"

15. Скрытие команды Панель задач и меню "Пуск" из меню "Пуск" - "Настройка". Запрет пользователю открывать окно свойств панели задач и меню "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetTaskbar"="dword:00000001"

16. Запрет контекстного меню в "Панели задач":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoTrayContextMenu"="dword:00000001"

17. Запрет контекстного меню, которое обычно появляется при клике правой кнопкой мыши на "Рабочем столе" или в правом окне "Проводника":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"="dword:00000001"

18. Запрет на подключение пользователей к Web-узлу "Windows Update":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoWindowsUpdate"="dword:00000001"

19. Отключить показ диалога настроек дисплея:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"="dword:00000001"

20. Отключить показ диалога настроек сети:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoNetSetup"="dword:00000001"

21. Отключить показ диалога настроек безопасности:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoSecCPL"="dword:00000001"

22. Отключить кэширование паролей для просмотра сайтов защищенных паролем:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"DisablePwdCaching"="dword:00000001"

23. Включить требование алфавитно-цифрового пароля:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"AlphanumPwds"="dword:00000001"

24. Отключение командной строки для всех пользователей:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"Disabled"="dword:00000001"

25. Скрытие последнего имени пользователя (отображается пустое поле в блоке "Имя пользователя") при входе в систему:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"DontDisplayLastUserName"="0"

26. Пароль для пользователя по умолчанию:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"Default Password"="harm"

27. Отображение сообщения с заголовком окна соответствующим параметру LegalNoticeCaption, и текстом окна соответствующим параметру LegalNoticeText:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption"="СПРАВКА"
"LegalNoticeText"="ВНИМАНИЕ!  Приложение "Win.com" выполнило некорректную операцию при попытке отформатировать винчестер! Вы хотите повторить попытку?"

Рекомендации по удалению

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Изменить настройки реестра на начальные.
3. В ключе реестра удалить параметры:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
"Default Password"
"LegalNoticeCaption"
"LegalNoticeText"