Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader23.6555

Добавлен в вирусную базу Dr.Web: 2016-11-01

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Classes\wins\shell\open\command] '' = '"%TEMP%\RarSFX0\autocad.exe" "%1"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wins' = '"%TEMP%\RarSFX0\autocad.exe" -tray'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\RarSFX0\autocad.exe' = '%TEMP%\RarSFX0\autocad.exe:*:Enabled:wi...
Создает и запускает на исполнение:
  • '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\autocad.vbs"
Запускает на исполнение:
  • '%TEMP%\s.exe'
  • '%TEMP%\RarSFX0\autocad.exe'
  • '%TEMP%\·sјWёк®Ж§Ё\o.exe'
  • '<SYSTEM32>\notepad.exe' %TEMP%\r.txt
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\RarSFX0\Conf\Addresses.cfg
  • %TEMP%\RarSFX0\LinkMaker.dll
  • %TEMP%\RarSFX0\autocad.exe
  • %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\igames[1]
  • %TEMP%\RarSFX0\autocad.vbs
  • %TEMP%\FP2.tmp
  • %TEMP%\·sјWёк®Ж§Ё\o.exe
  • %TEMP%\r.txt
  • %TEMP%\RarSFX0\foxyinstalled.dll
  • %TEMP%\s.exe
Присваивает атрибут 'скрытый' для следующих файлов:
  • %TEMP%\RarSFX0\autocad.exe
  • %TEMP%\RarSFX0\autocad.vbs
  • %TEMP%\RarSFX0\Conf\Addresses.cfg
  • %TEMP%\RarSFX0\foxyinstalled.dll
  • %TEMP%\RarSFX0\LinkMaker.dll
Удаляет следующие файлы:
  • %TEMP%\RarSFX0\autocad.exe
Сетевая активность:
Подключается к:
  • '11#.#8.156.229':9070
  • '11#.#60.44.213':4130
  • '11#.#55.152.177':11581
  • '11#.#8.52.196':19097
  • '1.###.192.240':4721
  • '18#.#78.166.206':21819
  • '11#.#55.19.176':2637
  • '12#.#02.187.85':6979
  • '11#.#43.39.4':7572
  • '12#.#10.158.156':5291
  • '61.##7.203.200':22711
  • '36.##9.175.56':9890
  • '22#.#42.226.26':7333
  • 'ku##er.com':80
  • 'tw.####on.iblinx.com':2107
  • 'localhost':1039
  • '58.##5.91.227':22739
  • 'gw#.#blinx.com':2108
  • '11#.#46.50.207':21819
  • 'up####.iblinx.com':2106
  • '22#.#32.55.122':22203
  • '11#.#70.77.11':4296
TCP:
Запросы HTTP GET:
  • http://ku##er.com/igames/?ke##########################################################
UDP:
  • DNS ASK up####.iblinx.com
  • DNS ASK gw#.#blinx.com
  • DNS ASK tw.####on.iblinx.com
  • DNS ASK ku##er.com
  • '1.###.211.130':20541
  • '1.###.186.197':10631
  • '1.###.18.165':4060
  • '1.##4.2.72':9360
  • '11#.#4.174.206':8625
  • '12#.#95.123.193':8468
  • '61.##1.27.34':19445
  • '11#.#42.156.197':15468
  • '61.##1.99.231':5394
  • '61.##.50.127':4022
  • '12#.#2.53.227':7008
  • '21#.#0.143.163':19271
  • '1.###.22.176':21888
  • '11#.#8.136.229':14058
  • '1.###.205.140':3653
  • '1.###.223.11':6585
  • '11#.#53.80.99':6058
  • '11#.#2.174.66':3875
  • '1.##.169.66':21819
  • '11#.#19.8.169':24138
  • '11#.#51.196.210':11191
  • '11#.#70.156.52':20927
  • '61.##7.203.200':22711
  • '11#.#54.120.208':11849
  • '59.##6.107.122':8618
  • '36.##9.166.98':4784
  • '61.#8.52.91':11975
  • '22#.#67.239.216':16848
  • '11#.#55.152.177':11581
  • '12#.#21.204.195':23561
  • '12#.#04.129.221':19438
  • '11#.#70.70.10':8627
  • '36.##9.76.183':12017
  • '11#.#63.200.94':23303
  • '61.##.197.33':21819
  • '1.###.176.150':14539
  • '11#.#1.52.211':7846
  • '11#.#47.213.236':9725
  • '12#.#03.157.196':5732
  • '21#.#6.62.200':8054
  • '12#.#02.57.193':10743
  • '58.##6.119.39':18335
  • '12#.#95.109.46':4374
  • '21#.#64.89.107':20719
  • '11#.#70.77.11':4296
  • '11#.#4.20.203':14520
  • '11#.#47.106.229':21819
  • '1.###.224.49':5809
  • '12#.#44.16.7':14606
  • '11#.#52.151.142':55557
  • '22#.#42.226.191':17102
  • '1.###.229.179':22590
  • '11#.#55.15.143':4534
  • '11#.#54.112.120':17440
  • '1.###.133.16':4560
  • '61.##1.154.2':15729
  • '11#.#40.36.200':18078
  • '59.##9.183.180':9824
  • '12#.#02.54.81':1050
  • '14.##8.197.131':5944
  • '42.#.168.217':4437
  • '42.#.131.66':23901
  • '61.##.162.134':17436
  • '21#.#73.48.36':2787
  • '11#.#5.46.199':11026
  • '1.##.4.135':4369
  • '16#.#0.124.103':7804
  • '11#.#0.218.184':12222
  • '11#.#3.14.81':3319
  • '11#.#67.21.205':5074
  • '11#.#53.125.95':16075
  • '11#.#4.100.198':2943
  • '11#.#18.148.63':11801
  • '14.##6.162.44':21819
  • '11#.#60.44.213':4130
  • '69.##2.97.104':19036
  • '12#.#44.135.35':3515
  • '12#.#30.3.229':8184
  • '11#.#49.70.33':21819
  • '20#.#19.143.47':21819
  • '11#.#48.137.89':2798
  • '22#.#37.160.253':17473
  • '12#.#18.32.181':3295
  • '1.###.247.42':19252
  • '11#.#41.244.69':3164
  • '21#.#4.228.88':19837
  • '11#.#7.172.108':11744
  • '12#.#24.5.102':2573
  • '61.##3.0.111':9390
  • '59.##9.223.126':16237
  • '36.##9.188.82':7221
  • '14#.#13.49.10':12847
  • '22#.#42.140.133':20082
  • '22#.#41.129.34':15421
  • '21#.#66.197.241':10326
  • '36.##1.93.248':11975
  • '11#.#55.220.108':5350
  • '18#.#78.166.206':21819
  • '11#.#50.191.147':10723
  • '11#.#4.173.217':9327
  • '1.###.81.206':22038
  • '61.##1.17.30':5603
  • '11#.#05.206.75':6665
  • '1.###.128.206':16501
  • '21#.#64.204.131':8658
  • '12#.#30.173.14':9715
  • '11#.#40.22.84':24063
  • '12#.#44.150.152':21821
  • '12#.#.67.200':24589
  • '1.##.223.158':21819
  • '11#.#52.169.231':17600
  • '12#.#02.187.85':6979
  • '11#.#0.149.214':21026
  • '20#.#98.235.209':6031
  • '11#.#42.106.252':9374
  • '11#.#4.119.141':8700
  • '18#.#18.110.121':10399
  • '1.###.212.60':12347
  • '21#.#87.31.22':23519
  • '11#.#31.82.33':22904
  • '17#.#81.142.164':4444
  • '12#.#.231.181':17983
  • '22#.#36.235.65':19289
  • '36.##4.90.90':5418
  • '1.###.136.248':16216
  • '12#.#02.131.88':17323
  • '12#.#6.58.238':9969
  • '61.##1.0.241':11785
  • '21#.#8.97.121':4990
  • '27.#47.3.87':14771
  • 'localhost':1056
  • 'localhost':1055
  • '23#.#55.255.250':1900
  • '42.#.172.15':11649
  • '21#.#5.149.130':9523
  • '11#.#46.85.212':2838
  • '42.#.110.15':16005
  • '11#.#43.181.36':13062
  • '11#.#3.216.17':3001
  • '1.###.159.57':4020
  • '1.###.166.62':4389
  • '22#.#42.129.181':11327
  • '12#.#40.46.244':17219
  • '21#.#.162.225':2873
  • '12#.#10.158.156':5291
  • '11#.#4.117.140':15222
  • '11#.#7.147.101':13822
  • '11#.#8.156.229':9070
  • '11#.#0.176.22':24745
  • '12#.#40.185.46':9849
  • '1.##1.57.37':4999
  • '18#.#10.38.172':2873
  • '21#.#02.212.102':5990
  • '61.##6.153.250':2691
  • '21#.#6.95.215':15224
  • '61.##4.12.89':10531
  • '18#.#78.254.162':8906
  • '59.##2.156.206':6713
  • '59.##4.20.209':5347
  • '11#.#8.240.202':8135
  • '1.##.232.246':18724
  • '59.##9.189.18':12687
  • '11#.#7.201.191':19560
  • '11#.#7.147.173':15153
  • '59.##7.195.182':7504
  • '11#.#3.51.61':20807
  • '21#.#5.247.103':18638
  • '59.##8.113.145':2873
  • '1.###.107.134':4262
  • '18#.#3.57.179':15963
  • '12#.#28.43.152':10212
  • '61.##.24.100':8479
  • '12#.#30.148.8':10885
  • '42.#.53.195':2946
  • '36.##8.133.58':3816
  • '1.##.12.36':11839
  • '36.##1.215.233':16303
  • '11#.#7.211.160':7477
  • '14.##9.9.156':8598
  • '22#.#67.44.101':9987
  • '11#.#43.39.4':7572
  • '11#.#47.64.116':10561
  • '11#.#51.90.176':18241
  • '1.###.235.134':3164
  • '11#.#70.219.237':3209
  • '11#.#55.19.176':2637
  • '61.##7.237.99':7234
  • '12#.#41.34.89':9461
  • '1.###.118.138':14940
  • '22#.#29.92.142':18258
  • '42.#8.44.93':5109
  • '22#.#29.81.36':9533
  • '1.###.127.27':8540
  • '1.###.234.72':8124
  • '11#.#2.118.161':8752
  • '1.##5.4.105':8816
  • '42.##.141.150':7327
Другое:
Ищет следующие окна:
  • ClassName: 'MS_AutodialMonitor' WindowName: ''
  • ClassName: 'MS_WebcheckMonitor' WindowName: ''
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'EDIT' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке