Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

BackDoor.Maxplus.475

Добавлен в вирусную базу Dr.Web: 2011-12-13

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\f5a698ed\X'
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.afd] 'ImagePath' = '\?'
Вредоносные функции:
Создает и запускает на исполнение:
  • <LS_APPDATA>\f5a698ed\X 
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • <LS_APPDATA>\f5a698ed\@
  • <LS_APPDATA>\f5a698ed\X
  • %WINDIR%\$NtUninstallKB37556$\4121336045\L\alehhooo
  • %WINDIR%\$NtUninstallKB37556$\4121336045\@
Сетевая активность:
Подключается к:
  • '19#.#62.40.81':21810
  • '19#.#01.98.11':21810
  • '11#.#02.3.37':21810
  • '89.##6.92.172':21810
  • '41.##1.75.70':21810
  • '20#.#11.134.150':21810
  • '94.#7.40.28':21810
  • '18#.#3.88.202':21810
  • '2.###.159.74':21810
  • '18#.#37.99.147':21810
  • '84.##0.207.74':21810
  • '88.##2.139.233':21810
  • '18#.#.248.156':21810
  • '19#.#27.177.247':21810
  • '20#.#6.250.150':21810
  • '49.##6.198.64':21810
  • '18#.#4.20.124':21810
  • '17#.#33.68.139':21810
  • '79.##8.215.76':21810
  • '92.#7.67.12':21810
  • '15#.#1.119.75':21810
  • '11#.#2.131.141':21810
  • '88.##6.109.38':21810
  • '93.##3.184.81':21810
  • '62.##.163.22':21810
  • '15#.#3.13.247':21810
  • '31.##.250.203':21810
  • '18#.#2.181.54':21810
  • '17#.#4.180.172':21810
  • '77.##.176.99':21810
  • '2.###.152.155':21810
  • '17#.#9.65.109':21810
  • '67.##1.100.52':21810
  • '19#.#2.56.32':21810
  • '20#.#20.44.111':21810
  • '95.##.128.68':21810
  • '20#.#15.212.107':21810
  • '46.##2.155.118':21810
  • '20#.#04.206.218':21810
  • '60.##.251.196':21810
  • '24.##.232.115':21810
  • '21#.#32.142.191':21810
  • '46.##2.191.8':21810
  • '20#.#1.156.79':21810
  • '18#.#36.173.178':21810
  • '84.#2.86.13':21810
  • '17#.#17.107.198':21810
  • '18#.#4.153.187':21810
  • '89.##.85.219':21810
  • '18#.#1.174.53':21810
  • '2.##4.65.3':21810
  • '92.##9.240.109':21810
  • '91.##6.195.88':21810
  • '11#.#4.109.75':21810
  • '20#.#12.154.60':21810
  • '20#.#10.221.247':21810
  • '46.##5.233.166':21810
  • '79.##9.109.129':21810
  • '11#.#97.204.143':21810
  • '19#.#4.122.26':21810
  • '19#.#44.210.71':21810
  • '87.##7.13.213':21810
  • '31.##1.72.110':21810
  • '18#.#0.247.177':21810
  • '19#.#83.161.110':21810
  • '20#.#13.10.172':21810
  • '95.##4.20.102':21810
  • '18#.#5.86.84':21810
  • '95.##.252.182':21810
  • '2.###.139.118':21810
  • '87.##2.229.22':21810
  • '93.##6.188.52':21810
  • '95.#8.139.6':21810
  • '17#.#0.78.191':21810
  • '17#.#1.96.110':21810
  • '31.##3.152.227':21810
  • '20#.#09.198.13':21810
  • '2.##3.65.4':21810
  • '20#.#3.87.202':21810
  • '95.##.53.160':21810
  • '17#.#8.27.62':21810
  • '19#.#7.61.71':21810
  • '82.##.146.178':21810
  • '20#.#15.146.110':21810
  • '41.##.161.126':21810
  • '95.##.203.220':21810
  • '85.##6.185.122':21810
  • '17#.#39.139.61':21810
  • '18#.#6.37.87':21810
  • '18#.#3.4.192':21810
  • '31.##8.129.243':21810
  • '77.#1.0.189':21810
  • '19#.#05.5.106':21810
  • '41.##3.112.46':21810
  • '17#.#56.137.22':21810
  • '79.##9.122.87':21810
  • '92.#6.103.6':21810
  • '41.##1.78.125':21810
  • '2.###.111.250':21810
  • '17#.#9.90.30':21810
  • '18#.#7.91.41':21810
  • '95.##.148.250':21810
  • '2.##9.7.54':21810
  • '17#.#3.146.40':21810
  • '18#.#8.137.8':21810
  • '80.##1.195.90':21810
  • '10#.#52.157.217':21810
  • '12#.#25.248.73':21810
  • '87.##1.108.98':21810
  • '17#.#0.84.238':21810
  • '24.##.23.252':21810
  • '2.###.205.195':21810
  • '21#.#.136.49':21810
  • '21#.#6.27.212':21810
  • '86.##3.98.102':21810
  • '2.###.134.112':21810
  • '79.##7.14.133':21810
  • '12#.#23.14.243':21810
  • '18#.#52.110.138':21810
  • '79.##7.175.232':21810
  • '18#.#1.92.240':21810
  • '19#.#3.0.247':21810
  • '82.##.225.140':21810
  • '18#.#.190.50':21810
  • '18#.#91.34.227':21810
  • '17#.#0.104.251':21810
  • '17#.#81.217.93':21810
  • '19#.#7.107.104':21810
  • '22#.#91.89.75':21810
  • '18#.#9.147.81':21810
  • '11#.#03.215.246':21810
  • '21#.#3.201.47':21810
  • '19#.#11.134.194':21810
  • '18#.#1.84.67':21810
  • '41.##4.214.37':21810
  • '20#.#2.43.236':21810
  • '81.##3.64.98':21810
  • '74.#8.7.21':21810
  • '18#.#31.33.54':21810
  • '10#.#29.179.159':21810
  • '11#.#1.18.255':21810
  • '95.##.212.127':21810
  • '19#.#05.127.170':21810
  • '15#.#6.207.211':21810
  • '15#.#7.138.195':21810
  • '20#.#58.69.22':21810
  • '95.##.41.171':21810
  • '18#.#15.198.113':21810
  • '41.##1.104.255':21810
  • '15#.#7.164.191':21810
  • '89.##9.118.64':21810
  • '84.##4.137.23':21810
  • '31.##2.63.186':21810
  • '17#.#0.233.222':21810
  • '19#.#93.174.237':21810
  • '12#.#25.40.139':21810
  • '18#.#37.198.129':21810
  • '24.#9.124.9':21810
  • '18#.#6.37.35':21810
  • '22#.#39.71.12':21810
  • '18#.#2.239.158':21810
  • '18#.#.226.77':21810
  • '72.##1.183.23':21810
  • '88.##1.241.124':21810
  • '79.##.56.160':21810
  • '46.##9.245.101':21810
  • '10#.#07.121.67':21810
  • '18#.#96.99.43':21810
  • '10#.#06.142.130':21810
  • '19#.#00.185.86':21810
  • '84.##4.57.66':21810
  • '17#.#3.17.24':80
  • '18#.#5.238.199':21810
  • '11#.#87.50.20':21810
  • '92.##.99.238':21810
  • '20#.#4.40.83':21810
  • '20#.#31.217.197':21810
  • '92.##.64.102':21810
  • '18#.#4.238.123':21810
  • '15#.#81.131.112':21810
  • '18#.#72.93.105':21810
  • '11#.#8.22.122':21810
  • '95.##2.178.37':21810
  • '18#.#.206.229':21810
  • '92.##.76.200':21810
  • '87.##7.56.32':21810
  • '92.##.219.81':21810
  • '18#.#81.101.15':21810
  • '17#.#9.39.247':21810
  • '11#.#84.112.43':21810
  • '46.#.183.176':21810
  • '89.##7.21.68':21810
  • '17#.#17.127.194':21810
  • '84.##4.180.255':21810
  • '77.##5.17.150':21810
  • '17#.#9.9.164':21810
  • '11#.#4.66.99':21810
  • '79.##2.194.135':21810
  • '58.##3.164.90':21810
  • '77.##1.122.204':21810
  • '27.#.99.206':21810
  • '20#.#25.22.10':21810
  • '11#.#8.2.189':21810
  • '17#.#9.6.135':21810
  • '84.##0.253.241':21810
  • '18#.#29.162.153':21810
  • '17#.#9.6.140':21810
  • '92.##.88.102':21810
  • '46.##.128.141':21810
  • '94.##3.74.85':21810
  • '21#.#6.20.136':21810
  • '17#.#8.240.168':21810
  • '19#.#42.171.216':21810
  • '89.##.254.197':21810
  • '19#.#89.56.196':21810
  • '83.##.115.65':21810
  • '21#.#5.78.138':21810
  • '19#.46.9.95':21810
  • '17#.#0.229.28':21810
  • '18#.#91.74.241':21810
  • '12#.#37.28.23':21810
  • '20#.#14.198.23':21810
  • '87.##7.43.255':21810
  • '81.##.150.187':21810
  • '78.##.38.164':21810
  • '20#.#11.14.170':21810
  • '95.##.131.41':21810
  • '77.##8.192.111':21810
  • '46.##1.165.231':21810
  • '19#.#05.135.93':21810
  • '19#.#18.89.220':21810
  • '24.##8.183.190':21810
  • '79.##8.60.81':21810
  • '87.##0.251.101':21810
  • '94.##3.94.171':21810
  • '20#.#55.214.101':21810
  • '10#.#37.128.97':21810
  • '95.##9.79.201':21810
  • '49.##8.163.229':21810
  • '17#.#9.33.190':21810
  • '17#.#21.119.215':21810
  • '46.##7.90.115':21810
  • '18#.#8.158.224':21810
  • '18#.#90.148.38':21810
  • '89.##3.156.236':21810
  • '2.###.222.127':21810
  • '19#.#0.42.87':21810
  • '17#.#1.39.53':21810
  • '50.##.145.30':21810
  • '17#.#06.135.4':21810
  • '92.##.136.124':21810
  • '20#.16.9.96':21810
  • '2.##.141.56':21810
  • '18#.#22.245.115':21810
  • '11#.#6.180.118':21810
  • '17#.#0.162.34':21810
  • '19#.#20.100.132':21810
TCP:
Запросы HTTP GET:
  • 17#.#3.17.24/bad.php?w=######################
  • 17#.#3.17.24/stat2.php?w=##########################################
  • 17#.#3.17.24/stat2.php?w=#########################################

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке