Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader9.8973

Добавлен в вирусную базу Dr.Web: 2014-01-09

Описание добавлено:

Техническая информация

Вредоносные функции:
Создает и запускает на исполнение:
  • '<SYSTEM32>\inxtmhzb.exe'
  • '<SYSTEM32>\utmurujz.exe'
  • '<SYSTEM32>\acdusunt.exe' /pid=2632
  • '<SYSTEM32>\adcapiif.exe'
  • '<SYSTEM32>\mezmhwvu.exe'
  • '<SYSTEM32>\rcejgodm.exe'
  • '<SYSTEM32>\yyqdeuxl.exe'
  • '<SYSTEM32>\ezvlajra.exe'
  • '<SYSTEM32>\bjepuddl.exe'
  • '<SYSTEM32>\fmjvpybh.exe'
  • '<SYSTEM32>\zoarbhfi.exe'
  • '<SYSTEM32>\hqcggbeu.exe'
  • '<SYSTEM32>\hoxqwzak.exe'
  • '<SYSTEM32>\acdusunt.exe' /pid=2820
  • '<SYSTEM32>\xqlwdcum.exe'
  • '<SYSTEM32>\jdoubgwh.exe' /pid=3708
  • '<SYSTEM32>\tnzfawar.exe'
  • '<SYSTEM32>\jdoubgwh.exe' /pid=3992
  • '<SYSTEM32>\gyjvhbsv.exe'
  • '<SYSTEM32>\twidxnds.exe' /pid=3952
  • '<SYSTEM32>\bjwawnwm.exe'
  • '<SYSTEM32>\sfqndnou.exe' /pid=3652
  • '<SYSTEM32>\akabeoaf.exe'
  • '<SYSTEM32>\sfqndnou.exe' /pid=1100
  • '<SYSTEM32>\olblliel.exe'
  • '<SYSTEM32>\hzyltvlz.exe'
  • '<SYSTEM32>\nhwqgfty.exe'
  • '<SYSTEM32>\zfpcrcev.exe' /pid=3692
  • '<SYSTEM32>\jhctvarg.exe'
  • '<SYSTEM32>\irlqcqzt.exe'
  • '<SYSTEM32>\auwboqdv.exe'
  • '<SYSTEM32>\xxprrukd.exe'
  • '<SYSTEM32>\sfqndnou.exe'
  • '<SYSTEM32>\iposxpmz.exe'
  • '<SYSTEM32>\rximbqrk.exe'
  • '<SYSTEM32>\zvygxigx.exe'
  • '<SYSTEM32>\acdusunt.exe'
  • '<SYSTEM32>\hwienggg.exe'
  • '<SYSTEM32>\fikqujop.exe'
  • '<SYSTEM32>\bcymdhdd.exe'
  • '<SYSTEM32>\dyaeqtyb.exe'
  • '<SYSTEM32>\qbanqsfv.exe'
  • '<SYSTEM32>\twidxnds.exe'
  • '<SYSTEM32>\yxjluajy.exe'
  • '<SYSTEM32>\jdoubgwh.exe'
  • '<SYSTEM32>\hrecpfxi.exe'
  • '<SYSTEM32>\fodlkjfw.exe'
  • '<SYSTEM32>\acdafuew.exe'
  • '<SYSTEM32>\zynbugcx.exe'
  • '<SYSTEM32>\zfpcrcev.exe'
  • '<SYSTEM32>\iyoznxuu.exe'
  • '<SYSTEM32>\xgjjjgob.exe'
  • '<SYSTEM32>\enhhpjry.exe'
  • '<SYSTEM32>\ilooidbr.exe'
  • '<SYSTEM32>\jsksdduq.exe'
  • '<SYSTEM32>\dvhregrz.exe'
Изменения в файловой системе:
Создает следующие файлы:
  • <SYSTEM32>\hoxqwzak.exe
  • <SYSTEM32>\zoarbhfi.exe
  • <SYSTEM32>\ezvlajra.exe
  • <SYSTEM32>\inxtmhzb.exe
  • <SYSTEM32>\utmurujz.exe
  • <SYSTEM32>\hqcggbeu.exe
  • <SYSTEM32>\acdafuew.exe
  • <SYSTEM32>\zynbugcx.exe
  • <SYSTEM32>\hrecpfxi.exe
  • <SYSTEM32>\bjepuddl.exe
  • <SYSTEM32>\fmjvpybh.exe
  • <SYSTEM32>\fodlkjfw.exe
  • <SYSTEM32>\adcapiif.exe
  • <SYSTEM32>\tnzfawar.exe
  • <SYSTEM32>\hzyltvlz.exe
  • <SYSTEM32>\nhwqgfty.exe
  • <SYSTEM32>\gyjvhbsv.exe
  • <SYSTEM32>\bjwawnwm.exe
  • <SYSTEM32>\xqlwdcum.exe
  • <SYSTEM32>\iaredjow.exe
  • <SYSTEM32>\rcejgodm.exe
  • <SYSTEM32>\yyqdeuxl.exe
  • <SYSTEM32>\olblliel.exe
  • <SYSTEM32>\akabeoaf.exe
  • <SYSTEM32>\mezmhwvu.exe
  • <SYSTEM32>\auwboqdv.exe
  • <SYSTEM32>\bcymdhdd.exe
  • <SYSTEM32>\dyaeqtyb.exe
  • <SYSTEM32>\xxprrukd.exe
  • <SYSTEM32>\jhctvarg.exe
  • <SYSTEM32>\irlqcqzt.exe
  • <SYSTEM32>\acdusunt.exe
  • <SYSTEM32>\hwienggg.exe
  • <SYSTEM32>\qbanqsfv.exe
  • <SYSTEM32>\fikqujop.exe
  • <SYSTEM32>\zvygxigx.exe
  • <SYSTEM32>\rximbqrk.exe
  • <SYSTEM32>\ilooidbr.exe
  • <SYSTEM32>\jsksdduq.exe
  • <SYSTEM32>\dvhregrz.exe
  • <SYSTEM32>\twidxnds.exe
  • <SYSTEM32>\yxjluajy.exe
  • <SYSTEM32>\jdoubgwh.exe
  • <SYSTEM32>\xgjjjgob.exe
  • <SYSTEM32>\sfqndnou.exe
  • <SYSTEM32>\iposxpmz.exe
  • <SYSTEM32>\enhhpjry.exe
  • <SYSTEM32>\zfpcrcev.exe
  • <SYSTEM32>\iyoznxuu.exe
Присваивает атрибут 'скрытый' для следующих файлов:
  • <SYSTEM32>\hqcggbeu.exe
  • <SYSTEM32>\hoxqwzak.exe
  • <SYSTEM32>\zoarbhfi.exe
  • <SYSTEM32>\adcapiif.exe
  • <SYSTEM32>\inxtmhzb.exe
  • <SYSTEM32>\utmurujz.exe
  • <SYSTEM32>\fodlkjfw.exe
  • <SYSTEM32>\acdafuew.exe
  • <SYSTEM32>\zynbugcx.exe
  • <SYSTEM32>\ezvlajra.exe
  • <SYSTEM32>\bjepuddl.exe
  • <SYSTEM32>\fmjvpybh.exe
  • <SYSTEM32>\tnzfawar.exe
  • <SYSTEM32>\hzyltvlz.exe
  • <SYSTEM32>\nhwqgfty.exe
  • <SYSTEM32>\gyjvhbsv.exe
  • <SYSTEM32>\bjwawnwm.exe
  • <SYSTEM32>\xqlwdcum.exe
  • <SYSTEM32>\iaredjow.exe
  • <SYSTEM32>\rcejgodm.exe
  • <SYSTEM32>\yyqdeuxl.exe
  • <SYSTEM32>\olblliel.exe
  • <SYSTEM32>\akabeoaf.exe
  • <SYSTEM32>\mezmhwvu.exe
  • <SYSTEM32>\hrecpfxi.exe
  • <SYSTEM32>\irlqcqzt.exe
  • <SYSTEM32>\auwboqdv.exe
  • <SYSTEM32>\bcymdhdd.exe
  • <SYSTEM32>\rximbqrk.exe
  • <SYSTEM32>\xxprrukd.exe
  • <SYSTEM32>\jhctvarg.exe
  • <SYSTEM32>\zvygxigx.exe
  • <SYSTEM32>\acdusunt.exe
  • <SYSTEM32>\hwienggg.exe
  • <SYSTEM32>\dyaeqtyb.exe
  • <SYSTEM32>\qbanqsfv.exe
  • <SYSTEM32>\fikqujop.exe
  • <SYSTEM32>\ilooidbr.exe
  • <SYSTEM32>\jsksdduq.exe
  • <SYSTEM32>\dvhregrz.exe
  • <SYSTEM32>\twidxnds.exe
  • <SYSTEM32>\yxjluajy.exe
  • <SYSTEM32>\jdoubgwh.exe
  • <SYSTEM32>\xgjjjgob.exe
  • <SYSTEM32>\sfqndnou.exe
  • <SYSTEM32>\iposxpmz.exe
  • <SYSTEM32>\enhhpjry.exe
  • <SYSTEM32>\zfpcrcev.exe
  • <SYSTEM32>\iyoznxuu.exe
Удаляет следующие файлы:
  • %TEMP%\~DF4398.tmp
  • %TEMP%\~DF8313.tmp
  • %TEMP%\~DFC0C8.tmp
  • %TEMP%\~DFBF66.tmp
  • %TEMP%\~DFE16A.tmp
  • %TEMP%\~DF2099.tmp
  • %TEMP%\~DF84EC.tmp
  • %TEMP%\~DFC453.tmp
  • %TEMP%\~DF2D2.tmp
  • %TEMP%\~DF1FC.tmp
  • %TEMP%\~DF22E8.tmp
  • %TEMP%\~DF626F.tmp
  • %TEMP%\~DFC158.tmp
  • %TEMP%\~DF2C.tmp
  • %TEMP%\~DF3EFE.tmp
  • %TEMP%\~DF3DDE.tmp
  • %TEMP%\~DF5FD7.tmp
  • %TEMP%\~DF9F7C.tmp
  • %TEMP%\~DF31C.tmp
  • %TEMP%\~DF4148.tmp
  • %TEMP%\~DF803B.tmp
  • %TEMP%\~DF7E50.tmp
  • %TEMP%\~DFA09C.tmp
  • %TEMP%\~DFDF7E.tmp
  • %TEMP%\~DFA058.tmp
  • %TEMP%\~DFAC2.tmp
  • %TEMP%\~DF4512.tmp
  • %TEMP%\~DF4355.tmp
  • %TEMP%\~DF3D3A.tmp
  • %TEMP%\~DFA594.tmp
  • %TEMP%\~DFA7F.tmp
  • %TEMP%\~DF85FD.tmp
  • %TEMP%\~DFA9CE.tmp
  • %TEMP%\~DFA566.tmp
  • %TEMP%\~DFA691.tmp
  • %TEMP%\~DF24D2.tmp
  • %TEMP%\~DFC602.tmp
  • %TEMP%\~DF553.tmp
  • %TEMP%\~DF441A.tmp
  • %TEMP%\~DF4242.tmp
  • %TEMP%\~DF6447.tmp
  • %TEMP%\~DFA40E.tmp
  • %TEMP%\~DF702.tmp
  • %TEMP%\~DF9E1B.tmp
  • %TEMP%\~DFA314.tmp
  • %TEMP%\~DFA161.tmp
  • %TEMP%\~DFA689.tmp
  • %TEMP%\~DF3CDE.tmp
  • %TEMP%\~DFB00D.tmp
  • %TEMP%\~DF435B.tmp
  • %TEMP%\~DF7667.tmp
  • %TEMP%\~DF2F8.tmp
  • %TEMP%\~DF4EB6.tmp
  • %TEMP%\~DFE2C6.tmp
  • %TEMP%\~DF4709.tmp
  • %TEMP%\~DF7F0E.tmp
  • %TEMP%\~DFA5E3.tmp
  • %TEMP%\~DFA3AE.tmp
  • %TEMP%\~DFE649.tmp
  • %TEMP%\~DF1F90.tmp
  • %TEMP%\~DF23BB.tmp
  • %TEMP%\~DF6E11.tmp
  • %TEMP%\~DFA3EF.tmp
  • %TEMP%\~DF9F30.tmp
  • %TEMP%\~DF6682.tmp
  • %TEMP%\~DFEA2.tmp
  • %TEMP%\~DF4A5A.tmp
  • %TEMP%\~DFAB8A.tmp
  • %TEMP%\~DFEE57.tmp
  • %TEMP%\~DFEB74.tmp
  • %TEMP%\~DF118F.tmp
  • %TEMP%\~DF7135.tmp
  • %TEMP%\~DF45C.tmp
  • %TEMP%\~DF6140.tmp
  • %TEMP%\~DF663D.tmp
  • %TEMP%\~DF63C5.tmp
  • %TEMP%\~DF865F.tmp
  • %TEMP%\~DFC63D.tmp
  • %TEMP%\~DF65EA.tmp
  • %TEMP%\~DFBFA9.tmp
  • %TEMP%\~DFFEF7.tmp
  • %TEMP%\~DFFD38.tmp
  • %TEMP%\~DFC8F9.tmp
  • %TEMP%\~DF5E2E.tmp
  • %TEMP%\~DF845B.tmp
  • %TEMP%\~DFC14D.tmp
  • %TEMP%\~DFE3A7.tmp
  • %TEMP%\~DFE249.tmp
  • %TEMP%\~DF23D1.tmp
  • %TEMP%\~DF42D4.tmp
  • %TEMP%\~DFC2B8.tmp
  • %TEMP%\~DF20C.tmp
  • %TEMP%\~DF2425.tmp
  • %TEMP%\~DF21FA.tmp
  • %TEMP%\~DF44AC.tmp
  • %TEMP%\~DF8443.tmp
Сетевая активность:
Подключается к:
  • 'localhost':1102
  • 'localhost':1100
  • 'localhost':1098
  • 'localhost':1108
  • 'localhost':1106
  • 'localhost':1104
  • 'localhost':1090
  • 'localhost':1088
  • 'localhost':1086
  • 'localhost':1096
  • 'localhost':1094
  • 'localhost':1092
  • 'localhost':1110
  • 'localhost':1128
  • 'localhost':1126
  • 'localhost':1124
  • 'localhost':1134
  • 'localhost':1132
  • 'localhost':1130
  • 'localhost':1116
  • 'localhost':1114
  • 'localhost':1112
  • 'localhost':1122
  • 'localhost':1120
  • 'localhost':1118
  • 'localhost':1052
  • 'localhost':1050
  • 'localhost':1048
  • 'localhost':1058
  • 'localhost':1056
  • 'localhost':1054
  • 'localhost':1040
  • 'localhost':1038
  • 'bl##.naver.com':80
  • 'localhost':1046
  • 'localhost':1044
  • 'localhost':1042
  • 'localhost':1060
  • 'localhost':1078
  • 'localhost':1076
  • 'localhost':1074
  • 'localhost':1084
  • 'localhost':1082
  • 'localhost':1080
  • 'localhost':1066
  • 'localhost':1064
  • 'localhost':1062
  • 'localhost':1072
  • 'localhost':1070
  • 'localhost':1068
TCP:
Запросы HTTP GET:
  • bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
  • DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
  • ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
  • ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
  • ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке