Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.KillFiles.12100

Добавлен в вирусную базу Dr.Web: 2013-08-31

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SynDemo.exe] 'Debugger' = 'ntsd -d # SynDemo.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImeUtil.exe] 'Debugger' = 'ntsd -d # ImeUtil.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PinyinUp.exe] 'Debugger' = 'ntsd -d # PinyinUp.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQExternal.exe] 'Debugger' = 'ntsd -d # QQExternal.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LBSclient.exe] 'Debugger' = 'ntsd -d # LBSclient.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IPHacker30.exe] 'Debugger' = 'ntsd -d # IPHacker30.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SohuNews.exe] 'Debugger' = 'ntsd -d # SohuNews.exe '
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\txupd.exe] 'Debugger' = 'ntsd -d # txupd.exe '
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQPYLiveup.exe] 'Debugger' = 'ntsd -d # QQPYLiveup.exe '
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQPCDetector.exe] 'Debugger' = 'ntsd -d # QQPCDetector.exe '
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\weday.exe] 'Debugger' = 'ntsd -d # weday.exe '
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\janisa.exe] 'Debugger' = 'ntsd -d # janisa.exe '
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Safe.exe] 'Debugger' = 'ntsd -d # Safe.exe '
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\ShellHWDetection] 'Start' = '00000002'
  • [<HKLM>\SYSTEM\ControlSet001\Services\PolicyAgent] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block UDP/1443" -f *+0:1443:UDP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block tcP/8444" -f *+0:8444:tcp -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block UDP/1444" -f *+0:1444:UDP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -o -x
  • '<SYSTEM32>\ccmd.exe' <SYSTEM32>\jwlog.dll
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block TCP/139" -f *+0:139:TCP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block TCP/1444" -f *+0:1444:TCP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block TCP/1443" -f *+0:1443:TCP -n BLOCK -x
  • '%WINDIR%\ipseccmd.exe' -w REG -p "jw Safe" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x
Запускает на исполнение:
  • '<SYSTEM32>\route.exe' /p add 58.221.39.212 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.211 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.210 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.215 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.214 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.213 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.206 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.205 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.204 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.209 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.208 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\route.exe' /p add 58.221.39.207 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\gpupdate.exe' /force
  • '<SYSTEM32>\sc.exe' start PolicyAgent Services
  • '<SYSTEM32>\sc.exe' config PolicyAgent start= auto
  • '<SYSTEM32>\ping.exe' 127.1 -n 2
  • '<SYSTEM32>\sc.exe' start ShellHWDetection
  • '<SYSTEM32>\sc.exe' config ShellHWDetection start= AUTO
  • '<SYSTEM32>\reg.exe' delete HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers /f
  • '<SYSTEM32>\regsvr32.exe' /u /s igfxpph.dll
  • '<SYSTEM32>\route.exe' /p add 58.221.37.125 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\find.exe' /i "PolicyAgent"
  • '<SYSTEM32>\sc.exe' query PolicyAgent
  • '<SYSTEM32>\reg.exe' add HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\new /ve /d {D969A300-E7FF-11d0-A93B-00A0C90F2719}
  • '<SYSTEM32>\route.exe' /p add 58.221.39.196 mask 255.255.255.255 192.168.1.0
  • '<SYSTEM32>\reg.exe' add HKlM\SYSTEM\CurrentControlSet\Control\CrashControl /v "AutoReboot" /t REG_DWORD /d 0 /f
  • '<SYSTEM32>\reg.exe' add HKlM\SYSTEM\ControlSet001\Control\CrashControl /v "AutoReboot" /t REG_DWORD /d 0 /f
  • '<SYSTEM32>\cmd.exe' /c %WINDIR%\QQ6697646.bat
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQPCDetector.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # QQPCDetector.exe " /f
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Blizzard Entertainment\Warcraft III\Sound" /v provider /t REG_SZ /d 1 /f
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Blizzard Entertainment\Warcraft III\Sound" /v positional /t REG_SZ /d 0 /f
  • '<SYSTEM32>\reg.exe' delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /f
  • '<SYSTEM32>\reg.exe' delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats" /f
  • '<SYSTEM32>\reg.exe' delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings" /f
  • '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /f
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats" /f
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SynDemo.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # SynDemo.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImeUtil.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # ImeUtil.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PinyinUp.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # PinyinUp.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQExternal.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # QQExternal.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LBSclient.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # LBSclient.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IPHacker30.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # IPHacker30.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Safe.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # Safe.exe " /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\txupd.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # txupd.exe " /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQPYLiveup.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # QQPYLiveup.exe " /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SohuNews.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # SohuNews.exe " /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\weday.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # weday.exe " /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\janisa.exe" /v "Debugger" /t REG_SZ /d "ntsd -d # janisa.exe " /f
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
  • <SYSTEM32>\jwlog.dll
  • <SYSTEM32>\ccmd.exe
  • %WINDIR%\QQ6697646.bat
  • %WINDIR%\winipsec.dll
  • %WINDIR%\xplore.exe
  • %WINDIR%\ipseccmd.exe
Удаляет следующие файлы:
  • %WINDIR%\ipseccmd.exe
  • %WINDIR%\xplore.exe
  • %TEMP%\~DFA8B7.tmp
  • %WINDIR%\winipsec.dll
  • %WINDIR%\Tasks\SA.DAT
  • %WINDIR%\Tasks\desktop.ini
  • <SYSTEM32>\jwlog.dll
  • <SYSTEM32>\ccmd.exe

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке