ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.DownLoader11.40914

Добавлен в вирусную базу Dr.Web: 2014-11-10

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'aeEkEEcE.exe' = '%ALLUSERSPROFILE%\BWogoUMg\aeEkEEcE.exe'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'pUccUkoM.exe' = '%HOMEPATH%\fCkYUMIQ\pUccUkoM.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
  • расширений файлов
блокирует:
  • Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
  • '%ALLUSERSPROFILE%\BWogoUMg\aeEkEEcE.exe' /c "<Текущая директория>\<Имя вируса>"
  • '%ALLUSERSPROFILE%\BWogoUMg\aeEkEEcE.exe'
  • '%HOMEPATH%\fCkYUMIQ\pUccUkoM.exe'
Запускает на исполнение:
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\JUMEQYYs.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\vcEoUYYU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\kCIUUEIk.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\gKsIcgcA.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\HGscYwsU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\rMoEkMUM.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\DCAwgoAw.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\nuAUYsYs.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\WgAwgQsU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\kuYgwcQY.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\FAMQkAEM.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=2352
  • '<SYSTEM32>\reg.exe' /c ""%TEMP%\RkEMokcI.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=2764
  • '<SYSTEM32>\cscript.exe' /pid=2696
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\FoocYsAo.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\nsosQEkM.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\EugwQoIE.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\eaQEgIUY.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\gCcwMIUU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\MiwEgEYs.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=492
  • '<SYSTEM32>\reg.exe' /pid=2592
  • '<SYSTEM32>\reg.exe' /pid=3388
  • '<SYSTEM32>\reg.exe' /pid=3948
  • '<SYSTEM32>\reg.exe' /pid=6120
  • '<SYSTEM32>\reg.exe' /c ""%TEMP%\ewkoQEQE.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=3092
  • '<SYSTEM32>\reg.exe' /pid=2656
  • '<SYSTEM32>\reg.exe' /c ""%TEMP%\ooskwAQU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cscript.exe' /pid=3300
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\PmEQEYUc.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=3180
  • '<SYSTEM32>\reg.exe' /pid=6088
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\dMIQkgoU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\taskkill.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
  • '<SYSTEM32>\cscript.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
  • '<SYSTEM32>\reg.exe' /pid=3292
  • '<SYSTEM32>\reg.exe' /pid=6024
  • '<SYSTEM32>\reg.exe' /pid=6048
  • '<SYSTEM32>\reg.exe' /pid=6056
  • '<SYSTEM32>\cscript.exe' /c ""%TEMP%\CkMYsIko.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\FUwUUQwI.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\dcgEsMcE.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\xsEQwYEk.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\xCgMAckY.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\cwQYgskU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=2828
  • '<SYSTEM32>\reg.exe' /c ""%TEMP%\giEwcsoI.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /c "<Текущая директория>\<Имя вируса>"
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\CUsswsIU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RCoIAksw.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\uwowAQMU.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\cYEMYcQc.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tekssEMc.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
  • '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
  • '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\aUsckUEw.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\IcoAMoQo.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\taskkill.exe' /FI "USERNAME eq %USERNAME%" /F /IM aeEkEEcE.exe
  • '<SYSTEM32>\cscript.exe' %TEMP%\file.vbs
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\WSoIAUsg.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=2348
  • '<SYSTEM32>\reg.exe' /pid=4056
  • '<SYSTEM32>\reg.exe' /c ""%TEMP%\aascYwYk.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=3104
  • '<SYSTEM32>\reg.exe' /pid=2872
  • '<SYSTEM32>\reg.exe' /c ""%TEMP%\vGwEMggY.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=3296
  • '<SYSTEM32>\reg.exe' /pid=3520
  • '<SYSTEM32>\cscript.exe' /pid=3172
  • '<SYSTEM32>\reg.exe' /pid=1448
  • '<SYSTEM32>\cscript.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\sKgwkgsc.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=552
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\oYYUooAc.bat" "<Полный путь к вирусу>""
  • '<SYSTEM32>\reg.exe' /pid=3072
  • '<SYSTEM32>\reg.exe' /pid=3080
  • '<SYSTEM32>\reg.exe' /pid=3612
  • '<SYSTEM32>\reg.exe'
  • '<SYSTEM32>\reg.exe' %TEMP%\file.vbs
  • '<SYSTEM32>\reg.exe' /pid=3116
  • '<SYSTEM32>\taskkill.exe' %TEMP%\file.vbs
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\taskkill.exe
  • <SYSTEM32>\cscript.exe
  • <SYSTEM32>\reg.exe
  • <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
  • C:\RCX14.tmp
  • <Текущая директория>\gocu.exe
  • %TEMP%\HGscYwsU.bat
  • <Текущая директория>\Swoq.ico
  • %TEMP%\kCIUUEIk.bat
  • %TEMP%\GsAoggIw.bat
  • <Текущая директория>\YUgW.ico
  • %TEMP%\YKIkUsEM.bat
  • <Текущая директория>\yEUe.exe
  • <Текущая директория>\ikoC.ico
  • C:\RCX13.tmp
  • <Текущая директория>\swgc.ico
  • C:\RCX16.tmp
  • <Текущая директория>\Ecgu.exe
  • %TEMP%\MSUIoAgg.bat
  • C:\RCX17.tmp
  • %TEMP%\JUMEQYYs.bat
  • C:\RCX15.tmp
  • <Текущая директория>\kIEA.exe
  • %TEMP%\mYcUowok.bat
  • <Текущая директория>\XAUQ.exe
  • <Текущая директория>\SwoK.ico
  • C:\RCX12.tmp
  • C:\RCXF.tmp
  • %TEMP%\rAwkQgsU.bat
  • %TEMP%\EugwQoIE.bat
  • <Текущая директория>\TUkc.ico
  • %TEMP%\nsosQEkM.bat
  • <Текущая директория>\QoEg.exe
  • <Текущая директория>\kMYk.ico
  • %TEMP%\LqgUAEwE.bat
  • <Текущая директория>\UYwA.exe
  • <Текущая директория>\Koos.ico
  • C:\RCXE.tmp
  • C:\RCX11.tmp
  • %TEMP%\fWwEwwAo.bat
  • %TEMP%\gKsIcgcA.bat
  • <Текущая директория>\TAYK.exe
  • <Текущая директория>\CwQc.ico
  • <Текущая директория>\TEcE.exe
  • %TEMP%\uaIgAUwU.bat
  • <Текущая директория>\bosW.exe
  • C:\RCX10.tmp
  • <Текущая директория>\Lwww.ico
  • %TEMP%\FAMQkAEM.bat
  • <Текущая директория>\PEAe.ico
  • <Текущая директория>\RQAC.exe
  • <Текущая директория>\VEEU.ico
  • C:\RCX1E.tmp
  • %TEMP%\dMIQkgoU.bat
  • %TEMP%\niAUYsUY.bat
  • C:\RCX1D.tmp
  • %TEMP%\DCAwgoAw.bat
  • C:\RCX1C.tmp
  • <Текущая директория>\RoYe.ico
  • %TEMP%\jIUoIkIo.bat
  • <Текущая директория>\gYkY.exe
  • %TEMP%\ooskwAQU.bat
  • %TEMP%\VUAcEYkA.bat
  • %TEMP%\xqQMEQUE.bat
  • %TEMP%\SOYAMMoI.bat
  • %TEMP%\ewkoQEQE.bat
  • %TEMP%\PmEQEYUc.bat
  • <Текущая директория>\QAEW.ico
  • %TEMP%\CkMYsIko.bat
  • %TEMP%\kIssUkQU.bat
  • C:\RCX1F.tmp
  • <Текущая директория>\RkES.exe
  • <Текущая директория>\dQcc.exe
  • %TEMP%\WgAwgQsU.bat
  • %TEMP%\HiEEsoAw.bat
  • %TEMP%\WGcMkEYY.bat
  • <Текущая директория>\hQEw.exe
  • <Текущая директория>\uoss.ico
  • %TEMP%\vcEoUYYU.bat
  • C:\RCX18.tmp
  • <Текущая директория>\OUsi.exe
  • <Текущая директория>\eEEg.ico
  • C:\RCX19.tmp
  • <Текущая директория>\KkEQ.exe
  • %TEMP%\iacsoYgI.bat
  • %TEMP%\nuAUYsYs.bat
  • %TEMP%\rMoEkMUM.bat
  • <Текущая директория>\YYoU.ico
  • %TEMP%\uSYcUgYE.bat
  • C:\RCX1B.tmp
  • %TEMP%\kuYgwcQY.bat
  • C:\RCX1A.tmp
  • %TEMP%\qscEUYkA.bat
  • <Текущая директория>\zcMM.exe
  • <Текущая директория>\Qcgq.ico
  • C:\RCXD.tmp
  • %TEMP%\giEwcsoI.bat
  • %TEMP%\WuwYUwsY.bat
  • %TEMP%\VCMcQkQk.bat
  • <Текущая директория>\ucwW.ico
  • %TEMP%\WQQQMMUE.bat
  • %TEMP%\RCoIAksw.bat
  • %TEMP%\BUsscMAQ.bat
  • %TEMP%\AEQQwkUo.bat
  • %TEMP%\dcgEsMcE.bat
  • %TEMP%\EacIEckg.bat
  • %TEMP%\CUsswsIU.bat
  • C:\RCX2.tmp
  • <Текущая директория>\PkMm.exe
  • %TEMP%\YGEcwogI.bat
  • <Текущая директория>\JkIU.exe
  • <Текущая директория>\WUIQ.ico
  • %TEMP%\sKgwkgsc.bat
  • C:\RCX1.tmp
  • <Текущая директория>\cMwu.exe
  • %TEMP%\oYYUooAc.bat
  • <Текущая директория>\iogs.ico
  • %TEMP%\HOsYYkIM.bat
  • %TEMP%\FUwUUQwI.bat
  • %TEMP%\ZGYkAMwc.bat
  • %TEMP%\file.vbs
  • %TEMP%\WSoIAUsg.bat
  • %TEMP%\aUsckUEw.bat
  • %TEMP%\GOgkwAkM.bat
  • %TEMP%\tekssEMc.bat
  • %TEMP%\wycowAEc.bat
  • <Текущая директория>\<Имя вируса>
  • %TEMP%\EiwAsYYo.bat
  • %TEMP%\cYEMYcQc.bat
  • %TEMP%\XGkswMIA.bat
  • %TEMP%\xCgMAckY.bat
  • %TEMP%\cwQYgskU.bat
  • %TEMP%\sQIIcAMg.bat
  • %TEMP%\xsEQwYEk.bat
  • %TEMP%\UUIoIgQg.bat
  • %TEMP%\IcoAMoQo.bat
  • %TEMP%\PWUkcUsE.bat
  • %TEMP%\KKYUIsMA.bat
  • %TEMP%\SmcwkEoc.bat
  • %TEMP%\uwowAQMU.bat
  • C:\RCX3.tmp
  • <Текущая директория>\TwIc.exe
  • <Текущая директория>\gEwm.ico
  • C:\RCXA.tmp
  • <Текущая директория>\GsEc.exe
  • <Текущая директория>\MEUS.ico
  • %TEMP%\xCcgoIgI.bat
  • <Текущая директория>\OswQ.ico
  • %TEMP%\YykAIQUo.bat
  • <Текущая директория>\iAEy.exe
  • C:\RCX9.tmp
  • %TEMP%\RkEMokcI.bat
  • %TEMP%\oYwUAMkQ.bat
  • C:\RCXC.tmp
  • <Текущая директория>\tsEM.ico
  • %TEMP%\eaQEgIUY.bat
  • <Текущая директория>\iUoI.exe
  • <Текущая директория>\JIcA.exe
  • %TEMP%\nyQQAEYA.bat
  • C:\RCXB.tmp
  • %TEMP%\gCcwMIUU.bat
  • <Текущая директория>\zAEG.ico
  • %TEMP%\MiwEgEYs.bat
  • C:\RCX8.tmp
  • C:\RCX5.tmp
  • <Текущая директория>\zcMS.exe
  • %TEMP%\uMcsEogc.bat
  • %TEMP%\uIUUogMQ.bat
  • %TEMP%\aascYwYk.bat
  • <Текущая директория>\XoQS.ico
  • <Текущая директория>\GgEQ.ico
  • %TEMP%\viIwsUAw.bat
  • <Текущая директория>\zEkY.exe
  • %TEMP%\lgoUgcMk.bat
  • C:\RCX4.tmp
  • C:\RCX7.tmp
  • %TEMP%\xMQoQMws.bat
  • <Текущая директория>\VMcq.ico
  • %TEMP%\FoocYsAo.bat
  • <Текущая директория>\dUsC.exe
  • <Текущая директория>\rMAs.exe
  • <Текущая директория>\GUIU.exe
  • <Текущая директория>\igUA.ico
  • C:\RCX6.tmp
  • %TEMP%\vGwEMggY.bat
  • <Текущая директория>\vMEY.ico
Присваивает атрибут 'скрытый' для следующих файлов:
  • %ALLUSERSPROFILE%\BWogoUMg\aeEkEEcE.exe
  • %HOMEPATH%\fCkYUMIQ\pUccUkoM.exe
Удаляет следующие файлы:
  • <Текущая директория>\YUgW.ico
  • %TEMP%\GsAoggIw.bat
  • <Текущая директория>\gocu.exe
  • <Текущая директория>\CwQc.ico
  • %TEMP%\YKIkUsEM.bat
  • <Текущая директория>\yEUe.exe
  • <Текущая директория>\ikoC.ico
  • <Текущая директория>\XAUQ.exe
  • <Текущая директория>\SwoK.ico
  • <Текущая директория>\Ecgu.exe
  • <Текущая директория>\kIEA.exe
  • %TEMP%\mYcUowok.bat
  • <Текущая директория>\Swoq.ico
  • <Текущая директория>\TAYK.exe
  • <Текущая директория>\kMYk.ico
  • %TEMP%\rAwkQgsU.bat
  • <Текущая директория>\QoEg.exe
  • <Текущая директория>\tsEM.ico
  • %TEMP%\LqgUAEwE.bat
  • <Текущая директория>\UYwA.exe
  • <Текущая директория>\Koos.ico
  • %TEMP%\fWwEwwAo.bat
  • <Текущая директория>\TEcE.exe
  • <Текущая директория>\Lwww.ico
  • %TEMP%\uaIgAUwU.bat
  • <Текущая директория>\bosW.exe
  • <Текущая директория>\TUkc.ico
  • <Текущая директория>\swgc.ico
  • <Текущая директория>\RoYe.ico
  • %TEMP%\jIUoIkIo.bat
  • %TEMP%\niAUYsUY.bat
  • <Текущая директория>\dQcc.exe
  • <Текущая директория>\YYoU.ico
  • <Текущая директория>\gYkY.exe
  • <Текущая директория>\RQAC.exe
  • <Текущая директория>\QAEW.ico
  • %TEMP%\VUAcEYkA.bat
  • %TEMP%\xqQMEQUE.bat
  • <Текущая директория>\VEEU.ico
  • %TEMP%\kIssUkQU.bat
  • <Текущая директория>\RkES.exe
  • %TEMP%\uSYcUgYE.bat
  • <Текущая директория>\KkEQ.exe
  • <Текущая директория>\eEEg.ico
  • %TEMP%\HiEEsoAw.bat
  • %TEMP%\MSUIoAgg.bat
  • <Текущая директория>\OUsi.exe
  • <Текущая директория>\PEAe.ico
  • %TEMP%\WGcMkEYY.bat
  • %TEMP%\iacsoYgI.bat
  • <Текущая директория>\zcMM.exe
  • <Текущая директория>\Qcgq.ico
  • <Текущая директория>\hQEw.exe
  • <Текущая директория>\uoss.ico
  • %TEMP%\qscEUYkA.bat
  • <Текущая директория>\iUoI.exe
  • <Текущая директория>\ucwW.ico
  • %TEMP%\HOsYYkIM.bat
  • <Текущая директория>\PkMm.exe
  • %TEMP%\VCMcQkQk.bat
  • %TEMP%\WQQQMMUE.bat
  • <Текущая директория>\cMwu.exe
  • <Текущая директория>\iogs.ico
  • <Текущая директория>\zEkY.exe
  • <Текущая директория>\GgEQ.ico
  • %TEMP%\lgoUgcMk.bat
  • <Текущая директория>\JkIU.exe
  • <Текущая директория>\WUIQ.ico
  • %TEMP%\viIwsUAw.bat
  • %TEMP%\WuwYUwsY.bat
  • %TEMP%\GOgkwAkM.bat
  • %TEMP%\PWUkcUsE.bat
  • %TEMP%\KKYUIsMA.bat
  • %TEMP%\wycowAEc.bat
  • %TEMP%\EiwAsYYo.bat
  • %TEMP%\ZGYkAMwc.bat
  • %TEMP%\SmcwkEoc.bat
  • %TEMP%\AEQQwkUo.bat
  • %TEMP%\BUsscMAQ.bat
  • %TEMP%\EacIEckg.bat
  • %TEMP%\UUIoIgQg.bat
  • %TEMP%\XGkswMIA.bat
  • %TEMP%\sQIIcAMg.bat
  • %TEMP%\YGEcwogI.bat
  • <Текущая директория>\TwIc.exe
  • <Текущая директория>\gEwm.ico
  • %TEMP%\RkEMokcI.bat
  • <Текущая директория>\OswQ.ico
  • %TEMP%\xCcgoIgI.bat
  • %TEMP%\aascYwYk.bat
  • %TEMP%\vGwEMggY.bat
  • <Текущая директория>\JIcA.exe
  • %TEMP%\oYwUAMkQ.bat
  • <Текущая директория>\zAEG.ico
  • %TEMP%\nyQQAEYA.bat
  • <Текущая директория>\GsEc.exe
  • <Текущая директория>\MEUS.ico
  • <Текущая директория>\iAEy.exe
  • %TEMP%\uIUUogMQ.bat
  • <Текущая директория>\GUIU.exe
  • <Текущая директория>\igUA.ico
  • <Текущая директория>\zcMS.exe
  • <Текущая директория>\XoQS.ico
  • %TEMP%\giEwcsoI.bat
  • <Текущая директория>\rMAs.exe
  • %TEMP%\YykAIQUo.bat
  • <Текущая директория>\VMcq.ico
  • %TEMP%\uMcsEogc.bat
  • <Текущая директория>\vMEY.ico
  • %TEMP%\xMQoQMws.bat
  • <Текущая директория>\dUsC.exe
Перемещает следующие файлы:
  • C:\RCX15.tmp в <Текущая директория>\kIEA.exe
  • C:\RCX16.tmp в <Текущая директория>\XAUQ.exe
  • C:\RCX17.tmp в <Текущая директория>\Ecgu.exe
  • C:\RCX14.tmp в <Текущая директория>\gocu.exe
  • C:\RCX11.tmp в <Текущая директория>\TEcE.exe
  • C:\RCX12.tmp в <Текущая директория>\TAYK.exe
  • C:\RCX13.tmp в <Текущая директория>\yEUe.exe
  • C:\RCX18.tmp в <Текущая директория>\OUsi.exe
  • C:\RCX1D.tmp в <Текущая директория>\gYkY.exe
  • C:\RCX1E.tmp в <Текущая директория>\RQAC.exe
  • C:\RCX1F.tmp в <Текущая директория>\RkES.exe
  • C:\RCX1C.tmp в <Текущая директория>\dQcc.exe
  • C:\RCX19.tmp в <Текущая директория>\KkEQ.exe
  • C:\RCX1A.tmp в <Текущая директория>\hQEw.exe
  • C:\RCX1B.tmp в <Текущая директория>\zcMM.exe
  • C:\RCX10.tmp в <Текущая директория>\bosW.exe
  • C:\RCX5.tmp в <Текущая директория>\zcMS.exe
  • C:\RCX6.tmp в <Текущая директория>\GUIU.exe
  • C:\RCX7.tmp в <Текущая директория>\rMAs.exe
  • C:\RCX4.tmp в <Текущая директория>\zEkY.exe
  • C:\RCX1.tmp в <Текущая директория>\cMwu.exe
  • C:\RCX2.tmp в <Текущая директория>\PkMm.exe
  • C:\RCX3.tmp в <Текущая директория>\JkIU.exe
  • C:\RCX8.tmp в <Текущая директория>\dUsC.exe
  • C:\RCXD.tmp в <Текущая директория>\iUoI.exe
  • C:\RCXE.tmp в <Текущая директория>\UYwA.exe
  • C:\RCXF.tmp в <Текущая директория>\QoEg.exe
  • C:\RCXC.tmp в <Текущая директория>\JIcA.exe
  • C:\RCX9.tmp в <Текущая директория>\iAEy.exe
  • C:\RCXA.tmp в <Текущая директория>\TwIc.exe
  • C:\RCXB.tmp в <Текущая директория>\GsEc.exe
Самоудаляется.
Сетевая активность:
Подключается к:
  • '19#.#86.45.170':9999
  • '74.##5.232.51':80
  • '20#.#7.164.69':9999
  • '20#.#19.204.12':9999
TCP:
Запросы HTTP GET:
  • 74.##5.232.51/
UDP:
  • DNS ASK google.com
Другое:
Ищет следующие окна:
  • ClassName: '' WindowName: 'Microsoft Windows'
  • ClassName: '' WindowName: ''
  • ClassName: '' WindowName: 'pUccUkoM.exe'
  • ClassName: 'Indicator' WindowName: ''
  • ClassName: '' WindowName: 'aeEkEEcE.exe'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play