Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader9.61870

Добавлен в вирусную базу Dr.Web: 2013-08-06

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Startup' = '%APPDATA%\Mining\rrining.exe'
Вредоносные функции:
Создает и запускает на исполнение:
  • '%APPDATA%\Mining\rining.exe' /pid=6032
  • '%APPDATA%\Mining\rining.exe' /pid=3104
  • '%APPDATA%\Mining\rining.exe' /pid=5260
  • '%APPDATA%\Mining\rining.exe' /pid=4108
  • '%APPDATA%\Mining\rining.exe' /pid=4980
  • '%APPDATA%\Mining\rining.exe' /pid=5372
  • '%APPDATA%\Mining\rining.exe' /pid=5640
  • '%APPDATA%\Mining\rining.exe' /pid=5340
  • '%APPDATA%\Mining\rining.exe' /pid=4072
  • '%APPDATA%\Mining\rining.exe' /pid=5172
  • '%APPDATA%\Mining\rining.exe' /pid=5680
  • '%APPDATA%\Mining\rining.exe' /pid=5240
  • '%APPDATA%\Mining\rining.exe' /pid=4268
  • '%APPDATA%\Mining\rining.exe' /pid=5452
  • '%APPDATA%\Mining\rining.exe' /pid=5732
  • '%APPDATA%\Mining\rining.exe' /pid=5652
  • '%APPDATA%\Mining\rining.exe' /pid=5180
  • '%APPDATA%\Mining\rining.exe' /pid=5000
  • '%APPDATA%\Mining\rining.exe' /pid=3384
  • '%APPDATA%\Mining\rining.exe' /pid=404
  • '%APPDATA%\Mining\rining.exe' /pid=2884
  • '%APPDATA%\Mining\rining.exe' /pid=2784
  • '%APPDATA%\Mining\rining.exe' /pid=5400
  • '%APPDATA%\Mining\rining.exe' /pid=4288
  • '%APPDATA%\Mining\rining.exe' /pid=1060
  • '%APPDATA%\Mining\rining.exe' /pid=2728
  • '%APPDATA%\Mining\rining.exe' /pid=5972
  • '%APPDATA%\Mining\rining.exe' /pid=1056
  • '%APPDATA%\Mining\rining.exe' /pid=4900
  • '%APPDATA%\Mining\rining.exe' /pid=3532
  • '%APPDATA%\Mining\rining.exe' /pid=776
  • '%APPDATA%\Mining\rining.exe' /pid=5772
  • '%APPDATA%\Mining\rining.exe' /pid=4004
  • '%APPDATA%\Mining\rining.exe' /pid=5092
  • '%APPDATA%\Mining\rining.exe' /pid=2924
  • '%APPDATA%\Mining\rining.exe' /pid=2824
  • '%APPDATA%\Mining\rining.exe' /pid=5460
  • '%APPDATA%\Mining\rining.exe' /pid=5580
  • '%APPDATA%\Mining\rining.exe' /pid=132
  • '%APPDATA%\Mining\rining.exe' /pid=4992
  • '%APPDATA%\Mining\rining.exe' /pid=5560
  • '%APPDATA%\Mining\rining.exe' /pid=6040
  • '%APPDATA%\Mining\rining.exe' /pid=5072
  • '%APPDATA%\Mining\rining.exe' /pid=5252
  • '%APPDATA%\Mining\rining.exe' /pid=4880
  • '%APPDATA%\Mining\rining.exe' /pid=2448
  • '%APPDATA%\Mining\rining.exe' /pid=3004
  • '%APPDATA%\Mining\rining.exe' -a sha256 -o http://av#####.####er:123456@aviatic.25u.com:8332 -T 83 -l yes
  • '%APPDATA%\Mining\rining.exe' /pid=2536
  • '%APPDATA%\Mining\rining.exe' /pid=2552
  • '%APPDATA%\Mining\rining.exe' /pid=2424
  • '%APPDATA%\Mining\rining.exe' /pid=3904
  • '%APPDATA%\Mining\rining.exe' /pid=4276
  • '%APPDATA%\Mining\rining.exe' /pid=6120
  • '%APPDATA%\Mining\rining.exe' /pid=5160
  • '%APPDATA%\Mining\rining.exe' /pid=5080
  • '%APPDATA%\Mining\rining.exe' /pid=2804
  • '%APPDATA%\Mining\rining.exe' /pid=3304
  • '%APPDATA%\Mining\rining.exe' /pid=5140
  • '%APPDATA%\Mining\rining.exe' /pid=3884
  • '%APPDATA%\Mining\rining.exe' /pid=5192
  • '%APPDATA%\Mining\rining.exe' /pid=4760
  • '%APPDATA%\Mining\rining.exe' /pid=3604
  • '%APPDATA%\Mining\rining.exe' /pid=4400
  • '%APPDATA%\Mining\rining.exe' /pid=732
  • '%APPDATA%\Mining\rining.exe' /pid=6136
  • '%APPDATA%\Mining\rining.exe' /pid=5552
  • '%APPDATA%\Mining\rining.exe' /pid=3824
  • '%APPDATA%\Mining\rining.exe' /pid=3912
  • '%APPDATA%\Mining\rining.exe' /pid=3424
  • '%APPDATA%\Mining\rining.exe' /pid=5872
  • '%APPDATA%\Mining\rining.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
  • %APPDATA%\Mining\rining.exe
Самоперемещается:
  • из <Полный путь к вирусу> в %APPDATA%\Mining\rrining.exe
Сетевая активность:
Подключается к:
  • '19#.#3.167.160':80
  • 'wp#d':80
TCP:
Запросы HTTP GET:
  • 19#.#3.167.160/sil1001/UFA.exe
  • wp#d/wpad.dat
UDP:
  • DNS ASK wp#d
Другое:
Ищет следующие окна:
  • ClassName: 'Indicator' WindowName: '(null)'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке