Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.DownLoader17.40271

Добавлен в вирусную базу Dr.Web: 2015-11-04

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '.exe' = '%TEMP%\.exe'
Вредоносные функции:
Создает и запускает на исполнение:
  • 'C:\bmdcuz.exe'
Запускает на исполнение:
  • '<SYSTEM32>\taskkill.exe' /f /im TASLogin.exe
  • '<SYSTEM32>\taskkill.exe' /f /im Client.exe
  • '<SYSTEM32>\taskkill.exe' /f /im DNF.exe
Завершает или пытается завершить
следующие пользовательские процессы:
  • dnf.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%2\µЗВј1.bmp
  • %WINDIR%2\¶ЇМ¬1.bmp
  • %WINDIR%2\µЗВј3.bmp
  • %WINDIR%2\°ґПВИЎПы.bmp
  • %WINDIR%2\µЗВј2.bmp
  • %WINDIR%2\¶ЇМ¬5.bmp
  • %WINDIR%2\¶ЇМ¬6.bmp
  • %WINDIR%2\µгИјИЎПы.bmp
  • %WINDIR%2\¶ЇМ¬3.bmp
  • %WINDIR%2\¶ЇМ¬2.bmp
  • %WINDIR%2\БР±н1.bmp
  • %WINDIR%2\xХэіЈ.bmp
  • %WINDIR%2\xµгИј.bmp
  • C:\ztest.txt
  • %WINDIR%2\x°ґПВ.bmp
  • %WINDIR%2\КЦ»ъБоЕЖ1.bmp
  • %WINDIR%2\QQ°ІИ«ЦРРД.bmp
  • %WINDIR%2\КЦ»ъБоЕЖ2.bmp
  • %WINDIR%2\БР±н2.bmp
  • %WINDIR%2\БР±н3.bmp
  • %WINDIR%2\ХэіЈИЎПы.bmp
  • %WINDIR%2\ХэФЪµЗВј.bmp
  • %WINDIR%2\И·ИПµгИј.bmp
  • %WINDIR%2\СйЦ¤Вл.bmp
  • %WINDIR%2\И·ИП°ґПВ.bmp
  • C:\bmdcuz.exe
  • C:\ss.txt
  • C:\ssm.mod
  • %WINDIR%2\И·ИПХэіЈ.bmp
  • %WINDIR%2\µЧНјНёГч.bmp
  • %WINDIR%2\ДЪНјЖ¬.bmp
  • %WINDIR%2\НјЖ¬Цч1.bmp
  • %WINDIR%2\ГЬВлґнОу.bmp
  • %WINDIR%2\¶ЇМ¬7.bmp
  • %WINDIR%2\ЅбКш.bmp
  • %WINDIR%2\СйЦ¤ХэіЈ.bmp
  • %WINDIR%2\ХЪ4.bmp
  • %WINDIR%2\СйЦ¤°ґПВ.bmp
  • %WINDIR%2\¶ЇМ¬4.bmp
  • %WINDIR%2\СйЦ¤µгИј.bmp
Сетевая активность:
Подключается к:
  • 'im##.ph.126.net':80
  • '12#.#25.114.144':80
  • 'xu#.##login2.qq.com':80
  • '11#.#0.189.78':760
TCP:
Запросы HTTP GET:
  • http://im##.ph.126.net/z_HQvVORhxqAqyR0phCpRA==/6631292066072308060.bmp
  • http://im##.ph.126.net/zuVVSYfGbdhxEUR_zDd8Lg==/6631307459235094184.bmp
  • http://im##.ph.126.net/p96ViPUsuVuuut7PEZ1H6w==/6631245886583919951.bmp
  • http://im##.ph.126.net/2iWvH19zkvbWem0DgAM73A==/6631431704049028283.bmp
  • http://im##.ph.126.net/kfhqfy9UDcFPunNRLUWx1w==/6631374529444384962.bmp
  • http://im##.ph.126.net/xaP3ncKtrm4tQ3a_MrE3yQ==/6631349240676956273.bmp
  • http://im##.ph.126.net/fkBB_DQI6jm9sSn8G_70IA==/6631402017235077999.bmp
  • http://im##.ph.126.net/UiOicAASfBp-1o-XCmS8Ww==/6631249185118803298.bmp
  • http://im##.ph.126.net/yWTmNn9aMBN6LU3x79Bqog==/6631402017235077994.bmp
  • http://im##.ph.126.net/tV4V7CEQVJMxB62acahUtA==/6631220597816510519.bmp
  • http://im##.ph.126.net/mohKFMVd1gUoDE0Wa1SB1Q==/6631352539211853323.bmp
  • http://im##.ph.126.net/lnmuVv7cr_ZDSD5QDLHosQ==/6631352539211853318.bmp
  • http://im##.ph.126.net/yMl6huUslYndCDjt6RYhOQ==/6631353638723474043.bmp
  • http://im##.ph.126.net/zV1qIFAB1uNQvrygHhWTXQ==/6631373429932771002.bmp
  • http://c.#####otos.baidu.com/album/s%3D1600%3Bq%3D90/sign=1754eeabd639b60049ce0bb1d9600e5b/38dbb6fd5266d0160bbe7360942bd40734fa35d6.jpg via 12#.#25.114.144
  • http://e.#####otos.baidu.com/album/s%3D1600%3Bq%3D90/sign=3e290c2c768b4710ca2ff9caf3fef88c/6a63f6246b600c3303cc2ac51e4c510fd9f9a102.jpg via 12#.#25.114.144
  • http://im##.ph.126.net/Hwf0yLm0vaDms85zLMIprQ==/6631232692444420089.bmp
  • http://g.#####otos.baidu.com/album/s%3D1600%3Bq%3D90/sign=d4f61569718b4710ca2ff9caf3fef88c/6a63f6246b600c33e9133380194c510fd9f9a114.jpg via 12#.#25.114.144
  • http://im##.ph.126.net/LiynGhOHTyRzKS2VH85NYw==/6631237090490918001.bmp
  • http://im##.ph.126.net/IfFzEBV11QAS4NduoOylDw==/6631325051421134072.bmp
  • http://im##.ph.126.net/mJUVjT9NQE3Ko-UNm45v-A==/6631249185118803299.bmp
  • http://im##.ph.126.net/6zm1ST-suotvzZ8TGcxIVg==/6631347041653700729.bmp
  • http://im##.ph.126.net/JtN_4uA8fUta2hctTB8hng==/6631304160700210868.bmp
  • http://im##.ph.126.net/rrJvGHP6EDGsEhFfWvFPhw==/6631318454351370549.bmp
  • http://im##.ph.126.net/rfdzlx0zWMfCSJBABfN7Hg==/6631215100258358217.bmp
  • http://xu#.##login2.qq.com/cgi-bin/xlogin?pr#####################################################################################################################################################...
  • http://im##.ph.126.net/OtPfkg2F6ntrAq1G6eP5YQ==/6631249185118803234.bmp
  • http://im##.ph.126.net/HiuRvufW5Ygo9_o1YJhRnQ==/6631342643607189632.bmp
  • http://im##.ph.126.net/wg4q0x22qPcwtfSN9rWUYg==/6631304160700210867.bmp
  • http://im##.ph.126.net/78sNrqiwpRgEJhu1HK8RZQ==/6631451495258352180.bmp
  • http://im##.ph.126.net/9Ajbn4mF8Y_qk1HqpD8Row==/6631275573397886234.bmp
  • http://im##.ph.126.net/82pQQNxx-yxdd2rPbpQb-Q==/6631290966560680240.bmp
  • http://im##.ph.126.net/dxwWPG8HVtyQyV2KNL-39g==/6631273374374630682.bmp
  • http://im##.ph.126.net/P7A54hAS5lNUD1eAWPpNFg==/6631374529444384964.bmp
  • http://im##.ph.126.net/_IeuIW4142D5BapW52a5dw==/6631349240676956276.bmp
  • http://im##.ph.126.net/vKSSPdZB_4EGV7Z5qcgEgg==/6631315155816487229.bmp
  • http://im##.ph.126.net/6GYvPdrEyyyiUqLwvg9Z2w==/6631275573397886235.bmp
UDP:
  • DNS ASK c.#####otos.baidu.com
  • DNS ASK g.#####otos.baidu.com
  • DNS ASK e.#####otos.baidu.com
  • DNS ASK xu#.##login2.qq.com
  • DNS ASK im##.ph.126.net
Другое:
Ищет следующие окна:
  • ClassName: 'Indicator' WindowName: ''
  • ClassName: '' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке