Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86
Локальная тех.поддержка:
+380 (44) 224-41-60

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86
Локальная тех.поддержка:
+380 (44) 224-41-60

Профиль

Trojan.DownLoader23.7611

Добавлен в вирусную базу Dr.Web: 2016-11-04

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] '{f65db027-aff3-4070-886a-0d87064aabb1}' = '"%ALLUSERSPROFILE%\Application Data\Package Cache\{f65db027-aff3-4070-886a-0d87064aabb1}\v...
Вредоносные функции:
Запускает на исполнение:
  • '<SYSTEM32>\msiexec.exe' /V
  • '%TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.be\vcredist_x86.exe' -q -burn.elevated BurnPipe.{30EE3E01-77A2-43B7-8776-B2FF7FF97BF9} {7F414BF8-FC07-487C-8A83-E269ED9C6BF1} 2924
  • '%ProgramFiles%\PostgreSQL\9.4\vcredist_x86.exe' /passive /norestart
Изменения в файловой системе:
Создает следующие файлы:
  • <SYSTEM32>\msvcp120.dll
  • <SYSTEM32>\msvcr120.dll
  • %WINDIR%\Installer\MSI4.tmp
  • C:\Config.Msi\31234.rbs
  • <SYSTEM32>\vcomp120.dll
  • %TEMP%\dd_vcredist_x86_20161103161319_1_vcRuntimeAdditional_x86.log
  • %WINDIR%\Installer\31236.msi
  • %WINDIR%\Installer\31235.msi
  • %TEMP%\~DF95AF.tmp
  • %TEMP%\~DF2F41.tmp
  • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\7396C420A8E1BC1DA97F1AF0D10BAD21
  • %APPDATA%\Microsoft\CryptnetUrlCache\Content\7396C420A8E1BC1DA97F1AF0D10BAD21
  • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\696F3DE637E6DE85B458996D49D759AD
  • %APPDATA%\Microsoft\CryptnetUrlCache\Content\696F3DE637E6DE85B458996D49D759AD
  • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\F90F18257CBB4D84216AC1E1F3BB2C76
  • %WINDIR%\Installer\31231.msi
  • %WINDIR%\Installer\31233.ipi
  • %APPDATA%\Microsoft\CryptnetUrlCache\Content\F90F18257CBB4D84216AC1E1F3BB2C76
  • %TEMP%\dd_vcredist_x86_20161103161319_0_vcRuntimeMinimum_x86.log
  • %WINDIR%\Installer\31238.ipi
  • <SYSTEM32>\mfc120kor.dll
  • <SYSTEM32>\mfc120rus.dll
  • <SYSTEM32>\mfc120ita.dll
  • <SYSTEM32>\mfc120jpn.dll
  • <SYSTEM32>\mfc120u.dll
  • %WINDIR%\Installer\3123a.msi
  • %TEMP%\~DFA549.tmp
  • <SYSTEM32>\mfcm120.dll
  • <SYSTEM32>\mfcm120u.dll
  • <SYSTEM32>\mfc120fra.dll
  • C:\Config.Msi\31239.rbs
  • <SYSTEM32>\mfc120.dll
  • %TEMP%\~DF16B.tmp
  • %WINDIR%\Installer\MSI7.tmp
  • <SYSTEM32>\mfc120chs.dll
  • <SYSTEM32>\mfc120enu.dll
  • <SYSTEM32>\mfc120esn.dll
  • <SYSTEM32>\mfc120cht.dll
  • <SYSTEM32>\mfc120deu.dll
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\FS\OBJECTS.MAP
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_NTUSER_S-1-5-18
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_NTUSER_S-1-5-19
  • %TEMP%\dd_vcredist_x86_20161103161319.log
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.be\vcredist_x86.exe
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-19
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_NTUSER_S-1-5-21-2052111302-484763869-725345543-1003
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-21-2052111302-484763869-725345543-1003
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_NTUSER_S-1-5-20
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-20
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\BootstrapperApplicationData.xml
  • %TEMP%\nsd3.tmp\services.dll
  • %ProgramFiles%\PostgreSQL\9.4\vcredist_x86.exe
  • %TEMP%\nsn2.tmp
  • %TEMP%\nsd3.tmp\System.dll
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\wixstdba.dll
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\logo.png
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\license.rtf
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\thm.xml
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\thm.wxl
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_USER_.DEFAULT
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\FS\INDEX.MAP
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\cab54A5CABBE7274D8A22EB58060AAB7623
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\vcRuntimeMinimum_x86
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\vcRuntimeAdditional_x86
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\FS\MAPPING.VER
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\FS\OBJECTS.DATA
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\cabB3E1576D1FEFBB979E13B1A5379E0B16
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\FS\MAPPING1.MAP
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\FS\MAPPING2.MAP
  • %ALLUSERSPROFILE%\Application Data\Package Cache\{f65db027-aff3-4070-886a-0d87064aabb1}\state.rsm
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_MACHINE_SYSTEM
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_MACHINE_SAM
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_MACHINE_SECURITY
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\_REGISTRY_MACHINE_SOFTWARE
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\ComDb.Dat
  • %ALLUSERSPROFILE%\Application Data\Package Cache\{f65db027-aff3-4070-886a-0d87064aabb1}\vcredist_x86.exe
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\FS\INDEX.BTR
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\domain.txt
  • C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP16\snapshot\Repository\$WinMgmt.CFG
Удаляет следующие файлы:
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\license.rtf
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\logo.png
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.be\vcredist_x86.exe
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\BootstrapperApplicationData.xml
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\wixstdba.dll
  • %ProgramFiles%\PostgreSQL\9.4\vcredist_x86.exe
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\thm.wxl
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.ba1\thm.xml
  • %WINDIR%\Installer\31231.msi
  • %WINDIR%\Installer\31233.ipi
  • %WINDIR%\Installer\MSI4.tmp
  • C:\Config.Msi\31234.rbs
  • %WINDIR%\Installer\31236.msi
  • %WINDIR%\Installer\31238.ipi
  • %WINDIR%\Installer\MSI7.tmp
  • C:\Config.Msi\31239.rbs
Перемещает следующие файлы:
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\cabB3E1576D1FEFBB979E13B1A5379E0B16 в %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\cabB3E1576D1FEFBB979E13B1A5379E0B16
  • %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\vcRuntimeAdditional_x86 в %ALLUSERSPROFILE%\Application Data\Package Cache\{F8CFEB22-A2E7-3971-9EDA-4B11EDEFC185}v12.0.21005\packages\vcRuntimeAdditional_x86\vc_runtimeAdditional_x86.msi
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\.be\vcredist_x86.exe в %TEMP%\DELA.tmp
  • %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\cabB3E1576D1FEFBB979E13B1A5379E0B16 в %ALLUSERSPROFILE%\Application Data\Package Cache\{F8CFEB22-A2E7-3971-9EDA-4B11EDEFC185}v12.0.21005\packages\vcRuntimeAdditional_x86\cab1.cab
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\vcRuntimeAdditional_x86 в %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\vcRuntimeAdditional_x86
  • %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\vcRuntimeMinimum_x86 в %ALLUSERSPROFILE%\Application Data\Package Cache\{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}v12.0.21005\packages\vcRuntimeMinimum_x86\vc_runtimeMinimum_x86.msi
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\vcRuntimeMinimum_x86 в %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\vcRuntimeMinimum_x86
  • %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\cab54A5CABBE7274D8A22EB58060AAB7623 в %ALLUSERSPROFILE%\Application Data\Package Cache\{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}v12.0.21005\packages\vcRuntimeMinimum_x86\cab1.cab
  • %TEMP%\{f65db027-aff3-4070-886a-0d87064aabb1}\cab54A5CABBE7274D8A22EB58060AAB7623 в %ALLUSERSPROFILE%\Application Data\Package Cache\.unverified\cab54A5CABBE7274D8A22EB58060AAB7623
Сетевая активность:
Подключается к:
  • '20#.#6.232.182':80
  • 'wp#d':80
TCP:
Запросы HTTP GET:
  • http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl via 20#.#6.232.182
  • http://crl.microsoft.com/pki/crl/products/MicrosoftTimeStampPCA.crl via 20#.#6.232.182
  • http://11#.#11.111.1/wpad.dat via wp#d
  • http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl via 20#.#6.232.182
UDP:
  • DNS ASK crl.microsoft.com
  • DNS ASK wp#d
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.