Xeldz, что это за файл
Обновлено: 03.07.2024
Win32/Wolcape.A — это троян, который перезаписывает MBR всех доступных дисков своими данными. Win32/Wolcape.A устанавливает бэкдор, которым можно управлять удаленно. Он использует методы, общие для руткитов.
Установка
Троянец не создает своих копий.
Троянец создает следующие файлы:
Вместо %variable% используется строка с переменным содержимым.
Создаются следующие записи реестра:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
- "FlashPlayerUpdate" = "%malwarefilepath%"
Троянец может установить следующие записи реестра:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
- "ВключитьLUA"=0
Троянец заменяет основную загрузочную запись собственным кодом, который получает контроль над зараженным компьютером при перезагрузке.
Троянец может выполнить перезагрузку операционной системы.
Троянец отображает следующие диалоговые окна:
Троянец создает и запускает новый поток со своим программным кодом в следующих процессах:
После завершения установки троян удаляет исходный исполняемый файл.
Кража информации
Троянец собирает следующую информацию:
- версия операционной системы
- установлены исправления Microsoft Windows
Троянец пытается отправить собранную информацию на удаленный компьютер.
Другая информация
Троянец немедленно завершает работу, если обнаруживается любая из следующих папок/файлов:
Троянец получает данные и команды с удаленного компьютера или из Интернета.
Он может выполнять следующие действия:
- загружать файлы с удаленного компьютера и/или из Интернета
- обновить себя до более новой версии
- запускать исполняемые файлы
Троян скрывает свое присутствие в системе.
Троянец завершает работу различных приложений, связанных с безопасностью.
Троянец может создавать следующие файлы:
Вместо %variable% используется строка с переменным содержимым.
Затем файл выполняется.
1992 - 2022 ESET, spol. с р.о. - Все права защищены. Используемые здесь товарные знаки являются товарными знаками или зарегистрированными товарными знаками ESET, spol. с р.о. или ESET для Северной Америки. Все остальные названия и бренды являются зарегистрированными товарными знаками соответствующих компаний.
Включите Javascript, чтобы обеспечить правильное отображение этого контента и обновить эту страницу.
Windows 10 Pro выпущена в июле 2015 г. Windows Vista Starter Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Enterprise Windows Vista Ultimate Windows 7 Starter Windows 7 Home Basic Windows 7 Home Premium Windows 7 Enterprise Windows 7 Professional Windows 7 Ultimate Windows 8 Windows 8 Корпоративная Windows 8 Pro Windows 8.1 Windows 8.1 Корпоративная Windows 8.1 Pro Еще. Меньше
Эта ошибка указывает на то, что загрузочный сектор поврежден или отсутствует.
Разрешение
Чтобы исправить это, используйте следующие методы для устранения этой ошибки запуска Windows.
![Значок информации]()
Примечание. Для выполнения этих действий необходим установочный диск Windows 8.1, Windows 8, Windows 7 или Windows Vista. Если у вас нет диска, обратитесь к производителю компьютера или в службу поддержки Microsoft, чтобы получить его. Если у вас нет установочного диска и средство восстановления при загрузке является предустановленным на вашем компьютере средством восстановления, попробуйте способ 4.
Способ 1. Запуск восстановления при загрузке из среды восстановления Windows (WinRE)
Чтобы запустить средство восстановления при загрузке из среды восстановления Windows (WinRE), выполните следующие действия:
Вставьте установочный диск Windows в дисковод и запустите компьютер.
Нажмите клавишу, когда появится сообщение Нажмите любую клавишу для загрузки с CD или DVD.
Если ваш компьютер не определяет носитель автоматическиВо время перезапуска прочитайте на экране инструкции, поясняющие, как прервать нормальный запуск и войти в утилиту настройки базовой системы ввода/вывода (BIOS). Большинство компьютеров используют клавиши F2, F10, ESC или DEL, чтобы начать настройку BIOS.
Найдите в утилите BIOS Setup Utility вкладку Boot Order, Boot Options или Boot. Следуя инструкциям на экране, используйте клавиши со стрелками, чтобы перейти к порядку загрузки, затем нажмите Enter.
Найдите компакт-диск, DVD-диск или флэш-накопитель USB (он может называться съемным устройством) в списке загрузки. Следуя указаниям на экране, с помощью клавиш со стрелками переместите диск вверх, чтобы он появился первым в списке загрузки. Нажмите Ввод. Порядок загрузки теперь изменен на загрузку с компакт-диска, DVD-диска или USB-накопителя.
Нажмите F10, чтобы сохранить изменения и выйти из утилиты настройки BIOS.Выберите Да в окне подтверждения. ПК перезагрузится.
Выберите язык, время и валюту, клавиатуру или метод ввода, а затем нажмите кнопку Далее.
Выберите Восстановить компьютер.
В диалоговом окне "Параметры восстановления системы" выберите диск с установленной системой Windows и нажмите кнопку "Далее".
В диалоговом окне "Параметры восстановления системы" выберите Восстановить компьютер.
Выберите операционную систему, которую вы хотите восстановить, и нажмите кнопку Далее.
В диалоговом окне "Параметры восстановления системы" выберите "Восстановление при загрузке".
Дополнительную информацию о параметрах восстановления системы см. в разделе Какие существуют параметры восстановления системы в Windows?
Способ 2. Восстановите данные конфигурации загрузки (BCD) из среды восстановления Windows (WinRE)
Чтобы восстановить данные конфигурации загрузки (BCD) из среды восстановления Windows (WinRE), выполните следующие действия:
Вставьте установочный диск Windows в дисковод и запустите компьютер.
Нажмите клавишу, когда появится сообщение Нажмите любую клавишу для загрузки с CD или DVD.
Если ваш компьютер не определяет носитель автоматическиВо время перезапуска прочитайте на экране инструкции, поясняющие, как прервать нормальный запуск и войти в утилиту настройки базовой системы ввода/вывода (BIOS). Большинство компьютеров используют клавиши F2, F10, ESC или DEL, чтобы начать настройку BIOS.
Найдите в утилите BIOS Setup Utility вкладку Boot Order, Boot Options или Boot. Следуя инструкциям на экране, используйте клавиши со стрелками, чтобы перейти к порядку загрузки, затем нажмите Enter.
Найдите компакт-диск, DVD-диск или флэш-накопитель USB (он может называться съемным устройством) в списке загрузки. Следуя указаниям на экране, с помощью клавиш со стрелками переместите диск вверх, чтобы он появился первым в списке загрузки. Нажмите Ввод. Порядок загрузки теперь изменен на загрузку с компакт-диска, DVD-диска или USB-накопителя.
Нажмите F10, чтобы сохранить изменения и выйти из утилиты настройки BIOS. Выберите Да в окне подтверждения. ПК перезагрузится. Разрешить ПК перезагрузиться в обычном режиме. Сканирование займет несколько минут и удалит все вредоносные программы, которые могут заразить ваш компьютер.
Выберите язык, время, валюту, клавиатуру или другой метод ввода, а затем нажмите кнопку Далее.
Выберите Восстановить компьютер.
Выберите операционную систему, которую вы хотите восстановить, и нажмите кнопку Далее.
В диалоговом окне "Параметры восстановления системы" выберите "Командная строка".
Введите Bootrec /RebuildBcd и нажмите клавишу ВВОД.
Способ 3. Запуск восстановления системы из среды восстановления Windows (WinRE)
![Значок оповещения]()
Важно! Для этого метода необходимо, чтобы на вашем компьютере было включено восстановление системы.
Чтобы запустить восстановление системы из среды восстановления Windows (WinRE), выполните следующие действия:
Вставьте установочный диск Windows в дисковод и запустите компьютер.
Нажмите клавишу, когда появится сообщение Нажмите любую клавишу для загрузки с CD или DVD.
Если ваш компьютер не определяет носитель автоматическиВо время перезапуска прочитайте на экране инструкции, поясняющие, как прервать нормальный запуск и войти в утилиту настройки базовой системы ввода/вывода (BIOS). Большинство компьютеров используют клавиши F2, F10, ESC или DEL, чтобы начать настройку BIOS.
Найдите в утилите BIOS Setup Utility вкладку Boot Order, Boot Options или Boot. Следуя инструкциям на экране, используйте клавиши со стрелками, чтобы перейти к порядку загрузки, затем нажмите Enter.
Найдите компакт-диск, DVD-диск или флэш-накопитель USB (он может называться съемным устройством) в списке загрузки. Следуя указаниям на экране, с помощью клавиш со стрелками переместите диск вверх, чтобы он появился первым в списке загрузки. Нажмите Ввод. Порядок загрузки теперь изменен на загрузку с компакт-диска, DVD-диска или USB-накопителя.
Нажмите F10, чтобы сохранить изменения и выйти из утилиты настройки BIOS. Выберите Да в окне подтверждения.
Выберите язык, время и валюту, а также клавиатуру или метод ввода, а затем нажмите кнопку Далее.
Выберите Восстановить компьютер.
В диалоговом окне "Параметры восстановления системы" выберите диск с установленной системой Windows и нажмите кнопку "Далее".
В диалоговом окне "Параметры восстановления системы" выберите "Восстановление системы".
Следуйте инструкциям мастера восстановления системы и выберите соответствующую точку восстановления.
Нажмите «Готово», чтобы восстановить систему.
Способ 4. Используйте средство восстановления при загрузке на компьютере, на котором предварительно установлена функция восстановления
![Значок оповещения]()
Важно! Этот метод доступен только в том случае, если на вашем компьютере предварительно установлено средство восстановления при загрузке.
Если у вас нет установочного диска Windows, а средство восстановления при загрузке является предварительно установленным на вашем компьютере средством восстановления, выполните следующие действия, чтобы восстановить файлы запуска:
Удалите из компьютера все дискеты, компакт-диски и DVD-диски, а затем перезагрузите компьютер с помощью кнопки питания компьютера.
Если на вашем компьютере установлена одна операционная система, нажмите и удерживайте клавишу F8 во время перезагрузки компьютера. Вы должны нажать F8, прежде чем появится логотип Windows. Если появится логотип Windows, повторите попытку, дождавшись появления запроса на вход в Windows, а затем выключив и перезагрузив компьютер.
Если на вашем компьютере установлено несколько операционных систем, с помощью клавиш со стрелками выделите операционную систему, которую вы хотите восстановить, а затем нажмите и удерживайте клавишу F8.
На экране «Дополнительные параметры загрузки» с помощью клавиш со стрелками выберите Восстановить компьютер и нажмите клавишу ВВОД. (Если параметр «Восстановить компьютер» не указан в списке, значит, на вашем компьютере нет предустановленных параметров восстановления или ваш сетевой администратор отключил их.)
Выберите раскладку клавиатуры и нажмите кнопку Далее.
Выберите имя пользователя, введите пароль и нажмите кнопку ОК.
В меню «Параметры восстановления системы» выберите «Восстановление при загрузке». Средство восстановления при загрузке может предложить вам сделать выбор, пытаясь устранить проблему, и, если необходимо, может перезагрузить компьютер во время исправления.
Перенес Windows 7 на другой жесткий диск (предварительно отвязал от железа, удалив особые устройства в Диспетчере Устройств).
Теперь при обнаружении выходит ошибка:
Не реализована игра Windows. Возможно, это произошло из-за недавнего внесения изменений.
Состояние: 0xc000000e.
Сведения: Сбой меню загрузки, требуемое устройство недоступно.Неужели теперь и новый загрузчик BootMgr привязывается к железу.
NTLDR себе такого не вылетел, и конфиг (C:\boot.ini) был текстовый.
Теперь же ещё и конфиг бинарный (C:\Boot\BCD). Это безобразие.Знаю, что можно извращаться с bcdedit и так далее. Такие вопросы:
пс. Мне нужно попробовать Win7 на многих машинах, и на каждой я не собираюсь извращаться.
В случае с WinXP я просто копирую каталоги из-под линукса, ставлю Grub2, и всё загружается. Как перехитрить Win7 и ее ущербный загрузчик (bootmgr) ?- Вопрос задан более трех лет назад
- 9022 просмотра
Проблема решена. Делюсь опытом.
Я все ОСи (Linux, WinXP, Win7) клонирую через архивы *.tar.gz, загружаясь в линукс с флэшки.
<р>1. Линукс.
Сидеть и увеличиваться днями сюсюкаться с мастерами, затрачивая как обезьяна по 2 часа на комп - мне как-то не стреляет. К тому же в готовых образах уже установлены все программы - офисы, просмотрщики, выполнена настройка рабочего окружения и так далее.
С линуксом проще всего - он не привязывается к железу.
Пакуешь папку ./tar_root.sh:Потом распаковываешь, ставишь жратву и готово (скрипт ниже).
<р>2. WinXP
Хрюшу легко "отвязать" от железа: загружаешься в безопасном режиме (по F8 в начале), заходишь в "Диспетчер устройств", удаляешь всё, что связано с чипом (например "Intel 45111"), жестко выключаешь комп ВЫДЕРНУВ ШНУР питания из жопки, загружаешься в линукс, правишь файл C:\Boot.ini:и пакуешь всё это дело ./tar_win.sh:
Распаковываешь на новой машине из-под линукс, обновляешь грубо:
update-grub
и готово.Первому делу необходимо удалить ветку реестра HKLM\SYSTEM\MountedDevices.
Теперь нужно включать запуск сервисов, загружающих стандартные драйвера контроллеров IDE и SATA.
Открываем ветку HKLM\SYSTEM\CurrentControlSet\services в левой части редактора реестра. Теперь проверяем возможные разделы в этой ветке: amdide, amdsata, amdxata, atapi, intelide, msahci, pciide. Параметр Start у каждого должен быть равен 0х00000000 (0). Значение Start=0 - запуск сервиса при загрузке Windows. Если он равен 0х00000003 (3), щелкаем два раза по имени параметра (Начало) и изменяем значение на 0 (рисунок ниже) и нажимаем ОК.После того, как start будет установлен в значении 0 у всех запрещенных выше разделов реестра, закрываем редактор реестра и перезагружаем компьютер в обычном режиме. В большинстве случаев этого достаточно.
Если проделанные действия не помогли и Windows 7 все равно не загружается и выдает ошибку STOP 0x0000007b, это означает, что необходимый драйвер контроллера не загружается. Попробуем включить загрузку всех настроений у водителей.
Для этого ставим значение параметра Начальная жесткость 0 в следующих сервисах: adp94xx, adpahci, adpu320, aic78xx, amdsbs, arc, arcsas, elxstor, HpSAMD, iaStorV, iirsp, LSI_FC, LSI_SAS, LSI_SAS2, LSI_SCSI, megasas, MegaSR, nfrd960 , nvraid, nvstor, ql2300, ql40xx, SiSRaid2, SiSRaid4, vhdmp, vsmraid, aliide, cmdide, nvraid, viaide.
Я выбрал первую пачку сервисов, а из второго - только оканчивающиеся на *ide.
Потом питание системника тоже жестко вырубаем, загружаемся в линукс, ПОДСОВЫВАЕМ C:\Boot\BCD, дополненный с помощью EasyBCD и подправляемый через VisualBCDEditor, пакуем всё это барахло ./tar_win7.sh:
Распаковываем (как и Хрюшу) на компе, запускаем update-grub и заменяем строчку в файле /boot/grub/grub.cfg:
chainloader +1
на:
ntldr / bootmgr
С первым применением Windows7 загружается не на всех машинах.Я щас везде ставлю Linux (Lubuntu), Grub2 и винду по желанию юзера. Всё делает скрипт через ./install.sh, предварительно подправив пути дисков и папок:
Времени экономится куча, особенно полезно, если нужно быстро восстановить структуру.
Любая ОС ставится за 5 минут (распаковка архива) без обезьяних действий.
<Р> MD5: f5ade01f7a9e0b4945307f4c9f9d5428
Описание было автоматически создано системой анализа вредоносных программ Lavasoft и может содержать неполную или неточную информацию.
SHA1: 5c4460b120eba1377eb87c47c0c7238b77213314
SHA256: 83018242d57ac9a83631544ec36c328d526420d85253c0537689d7537c7b23da
SSDeep: 24576: / 1 / aGLDCM4D8ay0MZo8 / YXMKYqedb6 / IX: wD8ay0MZo3XMPhz
Размер: 1010983 байт
Тип файла: EXE
Платформа: WIN32
Энтропия: Не упаковано
PEID: UPolyXv05_v6
Компания: сертификат не найден
Создано: нет данных
Проанализировано на : 32-разрядная версия Windows 7 SP1
Сводка:Троян. Программа, которая на первый взгляд делает одно, а на самом деле делает совсем другое (т.н. троянский конь).
Полезная нагрузка
Конкретная полезная нагрузка не найдена.
Действия процесса
Троянец создает следующие процессы:
ievgs.exe:2668
%исходное имя файла%.exe:2452Троянец внедряет свой код в следующие процессы:
Процессы не созданы.Мьютексы
Созданы/открыты следующие мьютексы:
Объекты не найдены.Файловая активность
Процесс ievgs.exe:2668 вносит изменения в файловую систему.
Троянец создает и/или записывает в следующие файлы:C:\original.exe (1963131 байт)
C:\config.sys .exe (1963131 байт)
C:\bootmgr .exe (1963131 байт)
C:\ Boot.exe (1963131 байт)
C:\Windows.exe (1963131 байт)
C:\ProgramData.exe (1963131 байт)
C:\$Recycle.Bin.exe (1963131 байт) байт)
C:\BOOTSECT.BAK .exe (1963131 байт)
%Documents and Settings% .exe (1963131 байт)
C:\totalcmd .exe (1963131 байт)
>C:\Users .exe (1963131 байт)
C:\XELDZ .exe (1963131 байт)
C:\autoexec.bat .exe (1963131 байт)
C:\System Volume Информация .exe (1963131 байт)
C:\marker .exe (1963131 байт)
C:\MSOCache .exe (1963131 байт)
%Program Files% .exe (1963131 байт)< br />C:\%исходное имя файла%.exe .exe (1963131 байт)
C:\pagefile.sys .exe (1963131 байт)Троянец удаляет следующие файлы:
C:\Mirax (0 байт)
C:\Miray (0 байт)
C:\Mirat (0 байт)
C:\Mirav (0 байт)
>C:\Miraq (0 байт)
C:\Mirar (0 байт)
C:\Miral (0 байт)
C:\Miram (0 байт)
C :\Miran (0 байт)
C:\Mirao (0 байт)
C:\Mirah (0 байт)
C:\Miraj (0 байт)
C:\ Mirad (0 байт)
C:\Mirae (0 байт)
C:\Mirag (0 байт)
C:\Mirab (0 байт)Процесс %original имя файла%.exe:2452 вносит изменения в файловую систему.
Троянец создает и/или записывает в следующие файлы:C:\ProgramData\Saaaalamm\Mira.h (960208 байт)
C:\ProgramData\ievgs.exe (1020720 байт)Действия в реестре
Процесс ievgs.exe:2668 вносит изменения в системный реестр.
Троянец создает и/или устанавливает в системном реестре следующие значения:
Чтобы автоматически запускаться при каждой загрузке Windows, Троянец добавляет в ключ автозапуска системного реестра следующую ссылку на свой файл:[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Операционная система Microsoft® Windows®" = "C:\ProgramData\ievgs.exe"Удаленные файлы PE
Аномалии файла HOSTS
Изменений не обнаружено.
Активность руткита
Аномалий не обнаружено.
Распространение
Информация о версии
Название компании: Microsoft Corporation
Название продукта: Mira Malware
Версия продукта: 1.0.0.155
Юридические авторские права: Microsoft Corporation
Юридические товарные знаки:
Исходное имя файла:
Внутреннее имя:
Версия файла: 1.0.0.155
Описание файла: Mira Malware
Комментарии:
Язык: английский (Великобритания)Разделы PE
Исключено из:
Скачано:
Аналогично от SSDeep:
Аналогично Lavasoft Polymorphic Checker:
URL-адреса
Вердикты IDS (предупреждения Suricata: набор правил Emerging Threats ET)
Трафик
Троянец подключается к серверам в следующих местах:
SearchProtocolHost.exe_816:
SearchFilterHost.exe_2096:
Удалите его с помощью Ad-Aware- Нажмите ( здесь ), чтобы загрузить и установить Ad-Aware Free Antivirus.
- Обновите файлы определений.
- Выполните полное сканирование компьютера.
Ручное удаление*ievgs.exe:2668
%исходное имя файла%.exe:2452C:\original.exe (1963131 байт)
C:\config.sys .exe (1963131 байт)
C:\bootmgr .exe (1963131 байт)
C:\ Boot.exe (1963131 байт)
C:\Windows.exe (1963131 байт)
C:\ProgramData.exe (1963131 байт)
C:\$Recycle.Bin.exe (1963131 байт) байт)
C:\BOOTSECT.BAK .exe (1963131 байт)
%Documents and Settings% .exe (1963131 байт)
C:\totalcmd .exe (1963131 байт)
>C:\Users .exe (1963131 байт)
C:\XELDZ .exe (1963131 байт)
C:\autoexec.bat .exe (1963131 байт)
C:\System Volume Информация .exe (1963131 байт)
C:\marker .exe (1963131 байт)
C:\MSOCache .exe (1963131 байт)
%Program Files% .exe (1963131 байт)< br />C:\%исходное имя файла%.exe .exe (1963131 байт)
C:\pagefile.sys .exe (1963131 байт)
C:\ProgramData\Saaaalamm\Mira.h ( 960208 байт)
C:\ProgramData\ievgs.exe (1020720 байт)[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Операционная система Microsoft® Windows®" = "C:\ProgramData\ievgs.exe"*Ручное удаление может привести к неожиданному поведению системы и должно выполняться на ваш страх и риск.
Читайте также:
- Как создать ссылку для скачивания файла
- Почему utorrent определяется как вирус, что делать
- Планы недоступны для вашего местоположения onedrive
- Устройство, которое пересылает пакеты между различными сегментами компьютерной сети на основе правил
- Один или несколько файлов не были импортированы rekordbox
