ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.AVKill.35088

Добавлен в вирусную базу Dr.Web: 2014-02-22

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'OygyGmJC.exe' = '"<LS_APPDATA>\AePSQBACd1\OygyGmJC.exe"'
  • [<HKLM>\SOFTWARE\Microsoft\Command Processor] 'Autorun' = '"<LS_APPDATA>\AePSQBACd1\OygyGmJC.exe"'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'cmd.exe'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'OygyGmJC.exe' = '"<LS_APPDATA>\AePSQBACd1\OygyGmJC.exe"'
  • [<HKCU>\Software\Microsoft\Command Processor] 'Autorun' = '"<LS_APPDATA>\AePSQBACd1\OygyGmJC.exe"'
  • [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'cmd.exe'
Вредоносные функции:
Запускает на исполнение:
  • '<SYSTEM32>\svchost.exe'
Завершает или пытается завершить
следующие пользовательские процессы:
  • ecmd.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sbmecwntcy[1]
  • %TEMP%\N9kQG0rQDV
  • <Полный путь к вирусу>
  • <LS_APPDATA>\AePSQBACd1\OygyGmJC.exe
Удаляет следующие файлы:
  • %TEMP%\N9kQG0rQDV
Сетевая активность:
Подключается к:
  • 'sb###wntcy.at':80
  • 'localhost':1037
TCP:
Запросы HTTP GET:
  • sb###wntcy.at/?bv############################################################################################################################################################################################
UDP:
  • DNS ASK sb###wntcy.at
Другое:
Ищет следующие окна:
  • ClassName: '(null)' WindowName: 'qGX'
  • ClassName: '(null)' WindowName: 'eKHzzcev a'
  • ClassName: '(null)' WindowName: ' Z gBp'
  • ClassName: '(null)' WindowName: 'nnd fc fR'
  • ClassName: '(null)' WindowName: ' rxXtbJh'
  • ClassName: '(null)' WindowName: 'weznywirtdoBn t'
  • ClassName: '(null)' WindowName: 'h xbvdgh bp'
  • ClassName: '(null)' WindowName: 'omrYl'
  • ClassName: '(null)' WindowName: 'VxoUwHoZpKqscKBw'
  • ClassName: '(null)' WindowName: 'Emxr yhfHbhl'
  • ClassName: '(null)' WindowName: 'k fKt cpEL'
  • ClassName: '(null)' WindowName: 'nvNAmprmyh e'
  • ClassName: '(null)' WindowName: 'akqzwe RtF k'
  • ClassName: '(null)' WindowName: 'HPvgwF'
  • ClassName: '(null)' WindowName: 'lkxRIcWyar'
  • ClassName: '(null)' WindowName: 'bjKpY'
  • ClassName: '(null)' WindowName: 'RWJ w yZk jMQ i '
  • ClassName: '(null)' WindowName: 'u B'
  • ClassName: '(null)' WindowName: 'zI '
  • ClassName: '(null)' WindowName: 'xmhUuh '
  • ClassName: '(null)' WindowName: ' rkgu'
  • ClassName: '(null)' WindowName: 'uNwx ldnf'
  • ClassName: '(null)' WindowName: ' uHgTt'
  • ClassName: '(null)' WindowName: 'pueCT'
  • ClassName: '(null)' WindowName: 'dclegdpAybuT'
  • ClassName: '(null)' WindowName: 'EpI Jjs Z igknzh '
  • ClassName: '(null)' WindowName: 'riIuxcd gdv '
  • ClassName: '(null)' WindowName: ' uhJmu '
  • ClassName: '(null)' WindowName: 'PxNyxcRLyn'
  • ClassName: '(null)' WindowName: 'Gqvo'
  • ClassName: '(null)' WindowName: 'utzk vl'
  • ClassName: '(null)' WindowName: 'd ocxpx'
  • ClassName: '(null)' WindowName: 'iKSpgkZzl czloe '
  • ClassName: '(null)' WindowName: 'Fda oD'
  • ClassName: '(null)' WindowName: 'fzlqdcmPeTV'
  • ClassName: '(null)' WindowName: 'DbctKKrqv'
  • ClassName: '(null)' WindowName: 'IaKDv '
  • ClassName: '(null)' WindowName: 'AulU b'
  • ClassName: '(null)' WindowName: 'uq kyzdtwgUTwWb'
  • ClassName: '(null)' WindowName: ' FfIndBDqs'
  • ClassName: '(null)' WindowName: 'pzmpjaspq TcCye'
  • ClassName: '(null)' WindowName: 'c Jmzp dwocr'
  • ClassName: 'Indicator' WindowName: '(null)'
  • ClassName: '(null)' WindowName: 'glwWuy zApl xvpctm'
  • ClassName: '(null)' WindowName: 'dyJSU'
  • ClassName: '(null)' WindowName: ' t u'
  • ClassName: '(null)' WindowName: 'ozcRmiq'
  • ClassName: '(null)' WindowName: 'qlyavuzi'
  • ClassName: '(null)' WindowName: 'vCbeeK'
  • ClassName: '(null)' WindowName: 'WxOnh '
  • ClassName: '(null)' WindowName: 'lkjOAjYLl'
  • ClassName: '(null)' WindowName: 'nXoQEanhpucqsmL'
  • ClassName: '(null)' WindowName: 'jrGb'
  • ClassName: '(null)' WindowName: 'rvx fvb'
  • ClassName: '(null)' WindowName: 'geu'
  • ClassName: '(null)' WindowName: 'atSx X '
  • ClassName: '(null)' WindowName: 'vqqc'
  • ClassName: '(null)' WindowName: 'gqG Tel'
  • ClassName: '(null)' WindowName: 'x kpQmcVhg U'
  • ClassName: '(null)' WindowName: 'Nvz dmzkhFWL'
  • ClassName: '(null)' WindowName: 'cmf'
  • ClassName: '(null)' WindowName: 'RdRflFu'
  • ClassName: '(null)' WindowName: 'Gvf nQ zprkm'
  • ClassName: '(null)' WindowName: 'qne nksYF i m'
  • ClassName: '(null)' WindowName: ' k wipCuvwPgi'
  • ClassName: '(null)' WindowName: 'W IgbafkOilg L'
  • ClassName: '(null)' WindowName: 'NUXeuBDdA'
  • ClassName: '(null)' WindowName: 'Kk aJx'
  • ClassName: '(null)' WindowName: 'W aUarrmhvzYk'
  • ClassName: '(null)' WindowName: 'InvWpRjFkm '
  • ClassName: '(null)' WindowName: 'mz xia'
  • ClassName: '(null)' WindowName: 'pbbeV'
  • ClassName: '(null)' WindowName: ' rUkyl uldm'
  • ClassName: '(null)' WindowName: 'QUb dl ngx'
  • ClassName: '(null)' WindowName: ' Higb'
  • ClassName: '(null)' WindowName: ' uh csd'
  • ClassName: '(null)' WindowName: 'lItS '
  • ClassName: '(null)' WindowName: 'ws'
  • ClassName: '(null)' WindowName: 'iTcXd x'
  • ClassName: '(null)' WindowName: 'zKxphe'
  • ClassName: '(null)' WindowName: 'bsvxhqs'
  • ClassName: '(null)' WindowName: 'iqsas ry'
  • ClassName: '(null)' WindowName: ' pvAgpU Pb'
  • ClassName: '(null)' WindowName: 'QmhHBqbMu'
  • ClassName: '(null)' WindowName: ' fezx'
  • ClassName: '(null)' WindowName: 'uvfJLmE'
  • ClassName: '(null)' WindowName: 'jaavjvX'
  • ClassName: '(null)' WindowName: 'fgr ltbifn'
  • ClassName: '(null)' WindowName: 'izneoM'
  • ClassName: '(null)' WindowName: 'ZeS r J'
  • ClassName: '(null)' WindowName: 'jsykMJlat'
  • ClassName: '(null)' WindowName: 'nupvYKzxDwsprhbe in'
  • ClassName: '(null)' WindowName: 'LRfs'
  • ClassName: '(null)' WindowName: 'bORFI zMioEk '
  • ClassName: '(null)' WindowName: 'dtySbT'
  • ClassName: '(null)' WindowName: 'fxQ '
  • ClassName: '(null)' WindowName: 'TtW uom'
  • ClassName: '(null)' WindowName: 'cg hkzgY'
  • ClassName: '(null)' WindowName: 'ae s Sa '
  • ClassName: '(null)' WindowName: 'ezMsPrewubnYKV'
  • ClassName: '(null)' WindowName: 'iivQZz S'
  • ClassName: '(null)' WindowName: 'PplKwpkMl j'
  • ClassName: '(null)' WindowName: 'wuXdeavnY'
  • ClassName: '(null)' WindowName: 'JSyTvsn F'
  • ClassName: '(null)' WindowName: 'iGGWw Bfj '
  • ClassName: '(null)' WindowName: 'kWf '
  • ClassName: '(null)' WindowName: 'ecOZ xPNdpdE'
  • ClassName: '(null)' WindowName: 'wqveI d w'
  • ClassName: '(null)' WindowName: ' Pn'
  • ClassName: '(null)' WindowName: ' obzrq'
  • ClassName: '(null)' WindowName: 'vTCrmHPwg Gd '
  • ClassName: '(null)' WindowName: 'X zykoTgjINg'
  • ClassName: '(null)' WindowName: 'caPnf q'
  • ClassName: '(null)' WindowName: 'xu'
  • ClassName: '(null)' WindowName: 'MqvUXHzj '
  • ClassName: '(null)' WindowName: 'wXc Ayp'
  • ClassName: '(null)' WindowName: 'iMpJ BxD'
  • ClassName: '(null)' WindowName: 'aBs '
  • ClassName: '(null)' WindowName: 'luuk Fq z Z'
  • ClassName: '(null)' WindowName: 'acZfFz kg'
  • ClassName: '(null)' WindowName: 'Uj ER'
  • ClassName: '(null)' WindowName: 'fJkvsugp'
  • ClassName: '(null)' WindowName: 'jL dyfuM xk'
  • ClassName: '(null)' WindowName: 'Uow '
  • ClassName: '(null)' WindowName: 'PNr'
  • ClassName: '(null)' WindowName: 'd kxwgREJ'
  • ClassName: '(null)' WindowName: ' wtb'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play