Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Trojan.StartPage.57190
Добавлен в вирусную базу Dr.Web:
2013-11-18
Описание добавлено:
2022-04-23
Technical Information
To ensure autorun and distribution
Modifies the following registry keys
[<HKLM>\SOFTWARE\Classes\.hzdh\shell\open\command] '' = 'IEXPLORE.EXE http://www.35yes.com/?wj'
[<HKLM>\SOFTWARE\Classes\.hzyx\shell\open\command] '' = 'IEXPLORE.EXE http://www.d91d.com/?wj'
[<HKLM>\SOFTWARE\Classes\.hztb\shell\open\command] '' = 'IEXPLORE.EXE http://taobao.loliso.com/?wj'
[<HKLM>\Software\Classes\.\shell\open\command\] '' = 'rundll32.exe %WINDIR%\staticial\cmss.jyc,scanMiddle'
[<HKLM>\Software\Classes\ttc\shell\open\command\] '' = '%ProgramFiles%\MOZILL~1\firefox.exe http:\\www.henbucuo.com\?new'
[<HKLM>\Software\Classes\ttf\shell\open\command\] '' = '%ProgramFiles%\Opera\launcher.exe http:\\www.henbucuo.com\?new'
Malicious functions
To complicate detection of its presence in the operating system,
forces the system hide from view:
Executes the following
'%ProgramFiles%\internet explorer\iexplore.exe' http://dl.###link.cn:1287/CPAdown/haozip_tiny.200629.html
'%ProgramFiles%\internet explorer\iexplore.exe' http://dl.###link.cn:1287/CPAdown/vplay.html
Sets a new unauthorized home page for Windows Internet Explorer.
Modifies file system
Creates the following files
C:\users\public\desktop\internet expleror.hzdh
C:\internet expleror.hzdh
%ALLUSERSPROFILE%\microsoft\windows\start menu\internet expleror.hzdh
C:\wi67e.exe
%ProgramFiles%\staticial\cmss.jyc
%WINDIR%\staticial\cmss.jyc
%ProgramFiles%\staticial\csrg.jpc
%WINDIR%\staticial\csrg.jpc
%ProgramFiles%\staticial\config.ini
%WINDIR%\staticial\config.ini
C:\lvek6r.exe
%WINDIR%\temp\2020.tmp
%WINDIR%\data.dat
%ProgramFiles%\internet explorer\hmmapis.dll
%ProgramFiles%\staticial\dd.vbs
C:\oied.bak.vbs
Sets the 'hidden' attribute to the following files
C:\users\public\desktop\internet expleror.hzdh
C:\internet expleror.hzdh
%ALLUSERSPROFILE%\microsoft\windows\start menu\internet expleror.hzdh
C:\wi67e.exe
C:\lvek6r.exe
Deletes the following files
%WINDIR%\temp\2020.tmp
C:\wi67e.exe
C:\oied.bak.vbs
%ProgramFiles%\staticial\dd.vbs
Miscellaneous
Searches for the following windows
ClassName: 'Progman' WindowName: ''
ClassName: 'SHELLDLL_DefView' WindowName: ''
ClassName: 'SysListView32' WindowName: ''
ClassName: 'Static' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebCheckMonitor' WindowName: ''
Creates and executes the following
'%WINDIR%\syswow64\wscript.exe' "c:\oied.bak.vbs"
'%WINDIR%\syswow64\wscript.exe' "%ProgramFiles%\staticial\dd.vbs"
'C:\lvek6r.exe'
'C:\wi67e.exe'
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r Users' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r "user' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r "Authenticated Users"' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r "Power Users"' (with hidden window)
'C:\wi67e.exe' ' (with hidden window)
'C:\lvek6r.exe' ' (with hidden window)
'%ProgramFiles%\internet explorer\iexplore.exe' http://dl.###link.cn:1287/CPAdown/haozip_tiny.200629.html' (with hidden window)
'%WINDIR%\syswow64\rundll32.exe' %WINDIR%\staticial\cmss.jyc,scanMiddle' (with hidden window)
'%WINDIR%\syswow64\wscript.exe' "%ProgramFiles%\staticial\dd.vbs"' (with hidden window)
'%WINDIR%\syswow64\wscript.exe' "c:\oied.bak.vbs"' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /G Everyone:r' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c ipconfig /all > %WINDIR%\Temp\2020.tmp' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r Administrators' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r "Power Users"' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /G Everyone:r' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r Administrators' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r Users' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r Administrators' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r System' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r "Power Users"' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r "Authenticated Users"' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r "user' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r System' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r "Authenticated Users"' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /G Everyone:r' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r Users' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r "user' (with hidden window)
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r System' (with hidden window)
'%ProgramFiles%\internet explorer\iexplore.exe' http://dl.###link.cn:1287/CPAdown/vplay.html' (with hidden window)
Executes the following
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /G Everyone:r
'%WINDIR%\syswow64\rundll32.exe' %WINDIR%\staticial\cmss.jyc,scanMiddle
'%WINDIR%\syswow64\cmd.exe' /c ipconfig /all > %WINDIR%\Temp\2020.tmp
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r "Power Users"
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r "Authenticated Users"
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r "user
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r Users
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r System
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /r Administrators
'%WINDIR%\syswow64\cacls.exe' "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Internet Expleror.hzdh" /e /c /G Everyone:r
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r "Power Users"
'%WINDIR%\syswow64\ipconfig.exe' /all
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r "Authenticated Users"
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r Users
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /G Everyone:r
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r "Authenticated Users"
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r System
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r Administrators
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r "user
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r "Power Users"
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r System
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r Administrators
'%WINDIR%\syswow64\cacls.exe' "C:\Users\Public\Desktop\Internet Expleror.hzdh" /e /c /r Users
'%WINDIR%\syswow64\cacls.exe' "\Internet Expleror.hzdh" /e /c /r "user
'%WINDIR%\syswow64\rundll32.exe' C:\Progra~1\staticial\csrg.jpc,scanCook
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK