ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.AVKill.30311

Добавлен в вирусную базу Dr.Web: 2013-04-25

Описание добавлено:

Техническая информация

Вредоносные функции:
Создает и запускает на исполнение:
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM ccSvcHst.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\GI6TCD09NS.exe' /stext 1.37.WBPV
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\68MNCYXSQP.exe' /stext 1.25.COPV
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM McUICnt.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM msseces.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM MsMpSvc /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM MsMpSvc.exe /F
  • '%TEMP%\RTYBVCKJ59.exe' /stext 1.80.MAPV
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\009OJBCZRJ.exe' /stext 1.35.PSWF
  • '%TEMP%\7NBZCOPSB8.exe' /stext 1.26.IXPS
  • '<LS_APPDATA>\Xenocode\Sandbox\IE PassView\1.26\2013.03.29T17.03\Virtual\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\7NBZCOPSB8.exe' /stext 1.26.IXPS
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\676NXZRKGD.exe' /stext 1.05.AOPV
  • '<LS_APPDATA>\Xenocode\Sandbox\Mail PassView\1.78\2013.03.29T16.58\Virtual\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\RTYBVCKJ59.exe' /stext 1.80.MAPV
  • '%TEMP%\12XVLGBG32.exe' /stext 1.42.MSPV
  • '<LS_APPDATA>\Xenocode\Sandbox\MessenPass\1.42\2013.03.29T16.54\Virtual\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\12XVLGBG32.exe' /stext 1.42.MSPV
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM AVP /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\12MNBXJJS0.exe' HBZMAQP109.zip
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\WScript.exe' "%TEMP%\RUN1234564.vbs"
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\cmd.exe' /c ""%TEMP%\UBCALO8X0X.bat" "
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\cmd.exe' /c ""%TEMP%\90MZALGFB3.bat" "
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Virtual\STUBEXE\8.0.1112\@APPDIR@\NVE - Copy.exe'
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\cmd.exe' /c ""%TEMP%\INSTALL.bat" "
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\WScript.exe' "%TEMP%\RUN1234567.vbs"
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM avgui.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM VSSERV /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM VSSERV.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM avp.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM seccenter.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM avgcfgex.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM vprot.exe /F
  • '<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.05\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM bdagent.exe /F
Завершает или пытается завершить
следующие пользовательские процессы:
  • AVP.EXE
  • bdagent.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\RUN1234564.vbs
  • %TEMP%\UBCALO8X0X.bat
  • %TEMP%\RTYBVCKJ59
  • %TEMP%\7NBZCOPSB8
  • %TEMP%\GI6TCD09NS
  • %TEMP%\1.37.WBPV
  • %TEMP%\1.35.PSWF
  • %TEMP%\ne0n_logs
  • %TEMP%\1.05.AOPV
  • %TEMP%\1.25.COPV
  • %TEMP%\1.80.MAPV
  • %TEMP%\HBZMAQP109.abcdefg
  • %TEMP%\RUN1234567.abcdefg
  • %TEMP%\90MZALGFB3.abcdefg
  • %TEMP%\12MNBXJJS0.abcdefg
  • %TEMP%\INSTALL.bat
  • %TEMP%\676NXZRKGD
  • %TEMP%\68MNCYXSQP
  • %TEMP%\12XVLGBG32
  • %TEMP%\009OJBCZRJ
  • %TEMP%\12LMXIFVX0
Удаляет следующие файлы:
  • %TEMP%\1.37.WBPV
  • %TEMP%\1.25.COPV
  • %TEMP%\7NBZCOPSB8
  • %TEMP%\12LMXIFVX0
  • %TEMP%\1.35.PSWF
  • %TEMP%\RUN1234564.vbs
  • %TEMP%\1.80.MAPV
  • %TEMP%\1.05.AOPV
  • %TEMP%\009OJBCZRJ
  • %TEMP%\12MNBXJJS0.exe
  • %TEMP%\GI6TCD09NS
  • %TEMP%\RUN1234567.vbs
  • %TEMP%\HBZMAQP109.zip
  • %TEMP%\12XVLGBG32
  • %TEMP%\676NXZRKGD
  • %TEMP%\68MNCYXSQP
  • %TEMP%\RTYBVCKJ59
Перемещает следующие файлы:
  • %TEMP%\68MNCYXSQP.exe в %TEMP%\68MNCYXSQP
  • %TEMP%\RTYBVCKJ59.exe в %TEMP%\RTYBVCKJ59
  • %TEMP%\GI6TCD09NS.exe в %TEMP%\GI6TCD09NS
  • %TEMP%\7NBZCOPSB8 в %TEMP%\7NBZCOPSB8.exe
  • %TEMP%\12LMXIFVX0 в %TEMP%\12LMXIFVX0.exe
  • %TEMP%\7NBZCOPSB8.exe в %TEMP%\7NBZCOPSB8
  • %TEMP%\12LMXIFVX0.exe в %TEMP%\12LMXIFVX0
  • %TEMP%\009OJBCZRJ.exe в %TEMP%\009OJBCZRJ
  • %TEMP%\12XVLGBG32.exe в %TEMP%\12XVLGBG32
  • %TEMP%\676NXZRKGD.exe в %TEMP%\676NXZRKGD
  • %TEMP%\12MNBXJJS0.abcdefg в %TEMP%\12MNBXJJS0.exe
  • %TEMP%\GI6TCD09NS в %TEMP%\GI6TCD09NS.exe
  • %TEMP%\HBZMAQP109.abcdefg в %TEMP%\HBZMAQP109.zip
  • %TEMP%\90MZALGFB3.abcdefg в %TEMP%\90MZALGFB3.bat
  • %TEMP%\RUN1234567.abcdefg в %TEMP%\RUN1234567.vbs
  • %TEMP%\676NXZRKGD в %TEMP%\676NXZRKGD.exe
  • %TEMP%\009OJBCZRJ в %TEMP%\009OJBCZRJ.exe
  • %TEMP%\12XVLGBG32 в %TEMP%\12XVLGBG32.exe
  • %TEMP%\68MNCYXSQP в %TEMP%\68MNCYXSQP.exe
  • %TEMP%\RTYBVCKJ59 в %TEMP%\RTYBVCKJ59.exe
Другое:
Ищет следующие окна:
  • ClassName: '' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play