Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Adware.Plugin.1206

Добавлен в вирусную базу Dr.Web: 2015-09-26

Описание добавлено:

Technical Information

To ensure autorun and distribution
Modifies the following registry keys
  • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'NSecAgent' = '"%CommonProgramFiles(x86)%\NSecsoft\NSec\NSecAgent.exe" -startup'
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
  • [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'NSecAgent' = '"%CommonProgramFiles(x86)%\NSecsoft\NSec\NSecAgent.exe" -startup'
Sets the following service settings
  • [HKLM\System\CurrentControlSet\Services\NSecRTS] 'Start' = '00000002'
  • [HKLM\System\CurrentControlSet\Services\NSecRTS] 'ImagePath' = '%CommonProgramFiles(x86)%\NSecsoft\NSec\NSecRTS.exe -r'
  • [HKLM\System\CurrentControlSet\Services\nsrawfilter] 'Start' = '00000001'
  • [HKLM\System\CurrentControlSet\Services\nsrawfilter] 'ImagePath' = 'system32\drivers\nsrawfilter.sys'
  • [HKLM\System\CurrentControlSet\Services\nFsFlt] 'ImagePath' = 'system32\DRIVERS\nFsFlt64.sys'
  • [HKLM\System\CurrentControlSet\Services\NSecKrnl] 'ImagePath' = '%CommonProgramFiles(x86)%\NSecsoft\NSec\NSecKrnl64.sys'
  • [HKLM\System\CurrentControlSet\Services\nsprotocolfilter] 'Start' = '00000001'
  • [HKLM\System\CurrentControlSet\Services\nsprotocolfilter] 'ImagePath' = 'system32\drivers\nsprotocolfilter.sys'
Creates the following services
  • 'NSecRTS' %CommonProgramFiles(x86)%\NSecsoft\NSec\NSecRTS.exe -r
  • 'nsrawfilter' system32\drivers\nsrawfilter.sys
  • 'nFsFlt' system32\DRIVERS\nFsFlt64.sys
  • 'NSecKrnl' %CommonProgramFiles(x86)%\NSecsoft\NSec\NSecKrnl64.sys
  • 'nsprotocolfilter' system32\drivers\nsprotocolfilter.sys
Malicious functions
Registers file system filter
  • [HKLM\System\CurrentControlSet\Services\nFsFlt] 'Group' = 'FSFilter Activity Monitor'
Modifies file system
Creates the following files
  • %TEMP%\nsbe14a.tmp
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\softokn3.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\smime3.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\plds4.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\plc4.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\nss3.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\nspr4.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\mozcrt19.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nss\certutil.exe
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\cer\netfiltersdk.cer
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\wpcap.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\webxml.dat
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\urllib.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\ssleay32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\phlib64.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\phlib32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\pcapt.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nvnserver.exe
  • %TEMP%\nsmea60.tmp\nsexec.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nfsflt64.inf
  • ctrlsmnsprotocolfilter
  • %APPDATA%\nsec\debug\log\nsx64.exe_2024-03-25.log
  • %APPDATA%\nsec\debug\log\iexplore.exe_2024-03-25.log
  • %APPDATA%\nsec\debug\log\explorer.exe_2024-03-25.log
  • %WINDIR%\temp\udd1dcf.tmp
  • %WINDIR%\temp\udd1dbf.tmp
  • <DRIVERS>\nsprotocolfilter.sys
  • %APPDATA%\nsec\debug\log\grpconv.exe_2024-03-25.log
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\packet.dll
  • D:\nsec\cache.ini
  • C:\nsec\cache.ini
  • %APPDATA%\nsec\debug\log\runonce.exe_2024-03-25.log
  • %WINDIR%\temp\udd14d8.tmp
  • %WINDIR%\temp\udd1489.tmp
  • C:\nsec\debug\log\fixit.exe_2024-03-25.log
  • C:\nsec\debug\log\nsecrts.exe_2024-03-25.log
  • <DRIVERS>\setf6b.tmp
  • <DRIVERS>\nsrawfilter.sys
  • %APPDATA%\nsec\debug\log\rundll32.exe_2024-03-25.log
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\npf64.sys
  • %APPDATA%\nsec\debug\log\nsecagent.exe_2024-03-25.log
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\npf.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\screc.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\pcinfo.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\packetnt6.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\packetnt5.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nsx64.exe
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nshellext64.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nshellext32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nsecrts.exe
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nseckrnl64.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nseckrnl32.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nsecagent.exe
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nfpcore.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\fixit.exe
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\dtcore64.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\dtcore32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\detours64.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\detours32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\config.exe
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\protocolfilters.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\showsth.exe
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nfapi.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\usbmgr.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\netfilter_wfp_win8_x86.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\netfilter_wfp_win8_x64.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\netfilter_wfp_win7_x86.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\netfilter_wfp_win7_x64.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\netfilter_tdi_xp_x86.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\netfilter_tdi_xp_x64.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nfsflt64.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nfsflt32.sys
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\libeay32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\libcurl.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\knurt.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\imau.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\htmlparser64.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\htmlparser32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\devcon64.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\devcon32.dll
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\actag.dat
  • %CommonProgramFiles(x86)%\nsecsoft\nsec\nfcore.dll
  • ctrlsmnsrawfilter
Deletes the following files
  • %TEMP%\nsmea60.tmp\nsexec.dll
  • %WINDIR%\temp\udd1489.tmp
  • %WINDIR%\temp\udd14d8.tmp
  • %WINDIR%\temp\udd1dbf.tmp
  • %WINDIR%\temp\udd1dcf.tmp
Moves the following files
  • from <DRIVERS>\setf6b.tmp to <DRIVERS>\nfsflt64.sys
Modifies the following files
  • %LOCALAPPDATA%\microsoft\windows\explorer\explorerstartuplog_runonce.etl
Network activity
Connects to
  • 'localhost':59979
TCP
Other
  • 'localhost':49185
Miscellaneous
Creates and executes the following
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\config.exe' -ip
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\nsecagent.exe'
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\nsx64.exe'
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\nsecrts.exe' -i
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\nsecrts.exe' -r
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\fixit.exe' -df
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\config.exe' -ip' (with hidden window)
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\nsx64.exe' ' (with hidden window)
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\nsecrts.exe' -i' (with hidden window)
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\setupapi.dll,InstallHinfSection DefaultInstall 132 %CommonProgramFiles(x86)%\NSecsoft\NSec\nFsFlt64.inf' (with hidden window)
  • '%CommonProgramFiles(x86)%\nsecsoft\nsec\fixit.exe' -df' (with hidden window)
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%CommonProgramFiles(x86)%\NSecsoft\NSec\NShellExt32.dll"' (with hidden window)
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%CommonProgramFiles(x86)%\NSecsoft\NSec\NShellExt64.dll"' (with hidden window)
  • '%WINDIR%\syswow64\net.exe' start nFsFlt' (with hidden window)
Executes the following
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\setupapi.dll,InstallHinfSection DefaultInstall 132 %CommonProgramFiles(x86)%\NSecsoft\NSec\nFsFlt64.inf
  • '<SYSTEM32>\runonce.exe' -r
  • '<SYSTEM32>\grpconv.exe' -o
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%CommonProgramFiles(x86)%\NSecsoft\NSec\NShellExt32.dll"
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%CommonProgramFiles(x86)%\NSecsoft\NSec\NShellExt64.dll"
  • '<SYSTEM32>\regsvr32.exe' /s "%CommonProgramFiles(x86)%\NSecsoft\NSec\NShellExt64.dll"
  • '%WINDIR%\syswow64\net.exe' start nFsFlt
  • '%WINDIR%\syswow64\net1.exe' start nFsFlt

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке