Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.KeyLogger.24565

Добавлен в вирусную базу Dr.Web: 2014-04-28

Описание добавлено:

Техническая информация

Вредоносные функции:
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
  • Библиотека-обработчик для всех процессов: <Текущая директория>\cfgdll.dll
Изменения в файловой системе:
Создает следующие файлы:
  • C:\temp\xnrlol\jn.bmp
  • C:\temp\xnrlol\jjks.bmp
  • C:\temp\xnrlol\loldata.cfg
  • C:\temp\xnrlol\ljcs.bmp
  • C:\temp\xnrlol\jbpd.bmp
  • C:\temp\xnrlol\in8.bmp
  • C:\temp\xnrlol\in7.bmp
  • C:\temp\xnrlol\in66.bmp
  • C:\temp\xnrlol\in31.bmp
  • C:\temp\xnrlol\pz.bmp
  • C:\temp\xnrlol\pdrs.bmp
  • C:\temp\xnrlol\sdgm.bmp
  • C:\temp\xnrlol\RegDll.dll
  • C:\temp\xnrlol\pdgame.bmp
  • C:\temp\xnrlol\lxzyx.bmp
  • C:\temp\xnrlol\loldata.ini
  • C:\temp\xnrlol\over.bmp
  • C:\temp\xnrlol\newhp.zip
  • C:\temp\xnrlol\hp6.bmp
  • C:\temp\xnrlol\hp5.bmp
  • C:\temp\xnrlol\hp8.bmp
  • C:\temp\xnrlol\hp7.bmp
  • C:\temp\xnrlol\hp4.bmp
  • C:\temp\xnrlol\hp0.bmp
  • C:\temp\xnrlol\hp.bmp
  • C:\temp\xnrlol\hp3.bmp
  • C:\temp\xnrlol\hp2.bmp
  • C:\temp\xnrlol\in4.bmp
  • C:\temp\xnrlol\in3.bmp
  • C:\temp\xnrlol\in6.bmp
  • C:\temp\xnrlol\in5.bmp
  • C:\temp\xnrlol\in2.bmp
  • C:\temp\xnrlol\hp10.bmp
  • C:\temp\xnrlol\hp9.bmp
  • C:\temp\xnrlol\in1.bmp
  • C:\temp\xnrlol\in0.bmp
  • C:\temp\xnrlol\Р¬ЧУ7.bmp
  • C:\temp\xnrlol\Р¬ЧУ6.bmp
  • C:\temp\xnrlol\±ШїґК№УГЅМіМ.txt
  • C:\temp\xnrlol\СйЦ¤МбКѕРЕПў.bmp
  • C:\temp\xnrlol\Р¬ЧУ5.bmp
  • C:\temp\xnrlol\Р¬ЧУ2.bmp
  • C:\temp\xnrlol\Р¬ЧУ1.bmp
  • C:\temp\xnrlol\Р¬ЧУ4.bmp
  • C:\temp\xnrlol\Р¬ЧУ3.bmp
  • <Текущая директория>\plugin\WINDOW.ini
  • <Текущая директория>\uservar.ini
  • <Текущая директория>\plugin\ENCRYPT.ini
  • <Текущая директория>\plugin\SYS.ini
  • C:\temp\xnrlol\ЙМµкµДX.bmp
  • C:\temp\xnrlol\jmdw2.bmp
  • C:\temp\xnrlol\іЙ№¦Жф¶Ї.mp3
  • C:\temp\xnrlol\ЦРРД0.bmp
  • C:\temp\xnrlol\jmdw.bmp
  • C:\temp\xnrlol\wzpd2.bmp
  • C:\temp\xnrlol\wzpd.bmp
  • C:\temp\xnrlol\xr.bmp
  • C:\temp\xnrlol\xhp.bmp
  • C:\temp\xnrlol\tgdd.bmp
  • C:\temp\xnrlol\sj2.bmp
  • C:\temp\xnrlol\sj.bmp
  • C:\temp\xnrlol\swpd.bmp
  • C:\temp\xnrlol\srmm.bmp
  • C:\temp\xnrlol\zgw3.bmp
  • C:\temp\xnrlol\zgw2.bmp
  • C:\temp\xnrlol\Р¬ЧУ0.bmp
  • C:\temp\xnrlol\zljg.bmp
  • C:\temp\xnrlol\zgw1.bmp
  • C:\temp\xnrlol\xzyxsj.bmp
  • C:\temp\xnrlol\xxx.bmp
  • C:\temp\xnrlol\zdyfou.bmp
  • C:\temp\xnrlol\zdy.bmp
  • C:\temp\xnrlol\gameover.bmp
  • %APPDATA%\qmacro\shield\SD002.dat
  • %APPDATA%\qmacro\shield\SD001.dat
  • %APPDATA%\qmacro\shield\SD004.dat
  • %APPDATA%\qmacro\shield\SD003.dat
  • %APPDATA%\qmacro\shield\SD000.dat
  • %APPDATA%\mymacro\qdisp.dll
  • <Текущая директория>\ShieldModule.dat
  • <Текущая директория>\<Имя вируса>.ini
  • %TEMP%\6bd5.tmp
  • C:\temp\xnrlol\2.bmp
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ad-mymacro[1].xml
  • C:\temp\xnrlol\4.bmp
  • C:\temp\xnrlol\3.bmp
  • <Текущая директория>\plugin\FILE.ini
  • <Текущая директория>\browsebox_file.ico
  • %APPDATA%\qmacro\shield\Shield.ini
  • <Текущая директория>\timer_icon.ico
  • <Текущая директория>\browsebox_dir.ico
  • <Текущая директория>\plugin\SYS.DLL
  • <Текущая директория>\plugin\WINDOW.DLL
  • <Текущая директория>\plugin\ENCRYPT.DLL
  • <Текущая директория>\plugin\CLOUD.DLL
  • %TEMP%\plugin.zip
  • %TEMP%\2.tmp
  • %TEMP%\1.tmp
  • %TEMP%\4.tmp
  • %TEMP%\3.tmp
  • %TEMP%\ad-mymacro9.xml
  • %TEMP%\background.bmp
  • <Текущая директория>\cfgdll.dll
  • %TEMP%\adcon\mm\tmpad.xml
  • %TEMP%\mymacro.zip
  • <Текущая директория>\plugin\FILE.DLL
  • <Текущая директория>\plugin\REGDLL.DLL
  • <Текущая директория>\plugin\REMOTEANSWER.DLL
  • <Текущая директория>\plugin\MEDIA.DLL
  • C:\temp\xnrlol\dj12.bmp
  • C:\temp\xnrlol\dj11.bmp
  • C:\temp\xnrlol\dj14.bmp
  • C:\temp\xnrlol\dj13.bmp
  • %TEMP%\adcon\mm\liveupdate8.dat.tmp
  • C:\temp\xnrlol\dj9.bmp
  • C:\temp\xnrlol\dj8.bmp
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\liveupdate8[1].dat
  • C:\temp\xnrlol\dj10.bmp
  • C:\temp\xnrlol\drhp2.bmp
  • C:\temp\xnrlol\drhp.bmp
  • C:\temp\xnrlol\dxjssj.bmp
  • C:\temp\xnrlol\dxcl.bmp
  • C:\temp\xnrlol\dr.bmp
  • C:\temp\xnrlol\dj16.bmp
  • C:\temp\xnrlol\dj15.bmp
  • C:\temp\xnrlol\dm_soft.txt
  • C:\temp\xnrlol\dm.dll
  • C:\temp\xnrlol\11.bmp
  • C:\temp\xnrlol\10.bmp
  • C:\temp\xnrlol\ClientZips.txt
  • C:\temp\xnrlol\12.bmp
  • C:\temp\xnrlol\9.bmp
  • C:\temp\xnrlol\6.bmp
  • C:\temp\xnrlol\5.bmp
  • C:\temp\xnrlol\8.bmp
  • C:\temp\xnrlol\7.bmp
  • C:\temp\xnrlol\dj5.bmp
  • C:\temp\xnrlol\dj4.bmp
  • C:\temp\xnrlol\dj7.bmp
  • C:\temp\xnrlol\dj6.bmp
  • C:\temp\xnrlol\dj3.bmp
  • C:\temp\xnrlol\cscxlj.bmp
  • C:\temp\xnrlol\cs.bmp
  • C:\temp\xnrlol\cxlj.bmp
  • C:\temp\xnrlol\cwts.bmp
Удаляет следующие файлы:
  • <Текущая директория>\browsebox_file.ico
  • <Текущая директория>\browsebox_dir.ico
  • <Текущая директория>\timer_icon.ico
  • <Текущая директория>\ShieldModule.dat
  • %TEMP%\plugin.zip
  • %TEMP%\mymacro.zip
  • %TEMP%\adcon\mm\tmpad.xml
Перемещает следующие файлы:
  • %TEMP%\adcon\mm\liveupdate8.dat.tmp в %TEMP%\adcon\mm\liveupdate8.dat
  • %TEMP%\ad-mymacro9.xml.tmp в %TEMP%\ad-mymacro9.xml
  • %TEMP%\background.bmp в %TEMP%\aecbackground.bmp
Сетевая активность:
Подключается к:
  • 'hi.###rothers.com':80
  • 'x1.#7yz.com':80
  • 'x3.#7yz.com':80
  • 'localhost':1036
  • 'ad.###rothers.com':80
  • 'do##.#rbrothers.com':80
TCP:
Запросы HTTP GET:
  • hi.###rothers.com/xjl/mmcount.aspx?mm###########################################################################################################################################################################################################
  • do##.#rbrothers.com/qmacro/up_mymacro/liveupdate8.dat
  • ad.###rothers.com/qmacro/v9/ad-mymacro.xml
UDP:
  • DNS ASK x1.#7yz.com
  • DNS ASK x3.#7yz.com
  • DNS ASK hi.###rothers.com
  • DNS ASK ad.###rothers.com
  • DNS ASK do##.#rbrothers.com
Другое:
Ищет следующие окна:
  • ClassName: '(null)' WindowName: 'wll'
  • ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке