Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Adware.Downware.9107

Добавлен в вирусную базу Dr.Web: 2014-11-16

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\services\sppsvc] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
  • '<SYSTEM32>\sppsvc.exe'
  • '<SYSTEM32>\schtasks.exe' /pid=0xa78 /log
  • '<SYSTEM32>\slui.exe' -Embedding
  • '<SYSTEM32>\Wat\WatAdminSvc.exe' /run
  • '<SYSTEM32>\Wat\WatAdminSvc.exe'
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab2DF6.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab2E17.tmp
  • %WINDIR%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\C24EC5BDAF13613245B4CECC3DE91DC6
  • %WINDIR%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\C24EC5BDAF13613245B4CECC3DE91DC6
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab53F3.tmp
  • <Служебный элемент>
  • %WINDIR%\Temp\tmp30A1.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab53D2.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\CabB0B8.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\CabB0E9.tmp
  • %APPDATA%\Roaming\Microsoft\Protect\S-1-5-21-2832440558-3064306045-1455513625-1000\6b2dc848-28d6-46f3-bf13-e665c68ac09e
  • %APPDATA%\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2832440558-3064306045-1455513625-1000\7ee83745df35bad5ccfc8cd8875de253_97c09787-6498-4b10-8f65-9471d842c55e
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
Удаляет следующие файлы:
  • %WINDIR%\Temp\tmp30A1.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab2E17.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab53F3.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab53D2.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\CabB0B8.tmp
  • %APPDATA%\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2832440558-3064306045-1455513625-1000\7ee83745df35bad5ccfc8cd8875de253_97c09787-6498-4b10-8f65-9471d842c55e
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab2DF6.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\CabB0E9.tmp
Сетевая активность:
Подключается к:
  • 'crl.verisign.com':80
  • 'cs######0-crl.verisign.com':80
  • '20#.#6.232.182':80
  • 'ct###.#indowsupdate.com':80
  • 'oc##.#erisign.com':80
  • 'in##.#ersscom.net':80
TCP:
Запросы HTTP GET:
  • 20#.#6.232.182/pki/crl/products/WinPCA.crl
  • 20#.#6.232.182/pki/crl/products/microsoftrootcert.crl
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?73##############
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?5d##############
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?8e##############
  • 20#.#6.232.182/fwlink/?Li###########
  • 20#.#6.232.182/pki/crl/products/CodeSignPCA.crl
  • crl.verisign.com/pca3.crl
  • oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuWLMe9tuvPMXynxDWECECUM6OAwYS6fK4n3BU18%2BP0%3D
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?ae##############
  • oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMCEFIA5aolVvwahu2WydRLM8c%3D
  • cs######0-crl.verisign.com/CSC3-2010.crl
  • oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%2FX8AUm7%2BPSp50CEH25tOM4vc9PkJ9nXAmLDnY%3D
  • crl.verisign.com/pca3-g5.crl
Запросы HTTP POST:
  • in##.#ersscom.net/consent/json/42?ne########################################
  • in##.#ersscom.net/evt/?ne########################################
UDP:
  • DNS ASK crl.microsoft.com
  • DNS ASK cs######0-crl.verisign.com
  • DNS ASK go.###rosoft.com
  • DNS ASK www.microsoft.com
  • DNS ASK in##.#ersscom.net
  • DNS ASK ct###.#indowsupdate.com
  • DNS ASK crl.verisign.com
  • DNS ASK oc##.#erisign.com
Другое:
Ищет следующие окна:
  • ClassName: 'MS_WebCheckMonitor' WindowName: ''
  • ClassName: 'MS_AutodialMonitor' WindowName: ''
  • ClassName: 'Progman' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке