Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86
Локальная тех.поддержка:
+380 (44) 224-41-60

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86
Локальная тех.поддержка:
+380 (44) 224-41-60

Профиль

Trojan.KillFiles.60519

Добавлен в вирусную базу Dr.Web: 2016-12-17

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\oreans32] 'ImagePath' = '<DRIVERS>\oreans32.sys'
  • [<HKLM>\SYSTEM\ControlSet001\Services\oreans32] 'Start' = '00000001'
Вредоносные функции:
Запускает на исполнение:
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=hackerth.tk dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=tkran.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=oziicheat.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=bagamez.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=onlyth.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add policy name=policy_50 assign=yes
  • '<SYSTEM32>\netsh.exe' ipsec static add rule name=rule_50 policy=policy_50 filterlist=filterlist_50 filteraction=action_50
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=dcnmode.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filteraction name=action_50 action=block
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=jumphack.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=mammothz.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=vmcheats.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static delete all
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=razhack.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=hdcheats.net dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=cheat-th.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=pondprobot.com dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=guprocheat.net dstaddr=Me protocol=tcp srcport=0 dstport=0
  • '<SYSTEM32>\netsh.exe' ipsec static add filter filterlist=filterlist_50 srcaddr=cheatsz.net dstaddr=Me protocol=tcp srcport=0 dstport=0
Ищет следующие окна с целью
обнаружения утилит для анализа:
  • ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
  • ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'RegmonClass' WindowName: ''
  • ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'GBDYLLO' WindowName: ''
  • ClassName: 'OLLYDBG' WindowName: ''
  • ClassName: 'FilemonClass' WindowName: ''
  • ClassName: 'pediy06' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
  • <DRIVERS>\oreans32.sys
Удаляет следующие файлы:
  • %WINDIR%\Prefetch\SERVICEMODELREG.EXE-3848AC09.pf
  • %WINDIR%\Prefetch\SERVICES.EXE-2F433351.pf
  • %WINDIR%\Prefetch\SETUP.EXE-015E7381.pf
  • %WINDIR%\Prefetch\SERVICEMODELREG.EXE-1FB5DD06.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-49F747DB.pf
  • %WINDIR%\Prefetch\RUNONCE.EXE-2803F297.pf
  • %WINDIR%\Prefetch\SCOOPYNG.EXE-1E3B99FD.pf
  • %WINDIR%\Prefetch\SETUP.EXE-0FFAB653.pf
  • %WINDIR%\Prefetch\SETUP_WM.EXE-3135CBD7.pf
  • %WINDIR%\Prefetch\SHMGRATE.EXE-1BA69E68.pf
  • %WINDIR%\Prefetch\SL1.TMP-04C43349.pf
  • %WINDIR%\Prefetch\SETUP50.EXE-362FF7C9.pf
  • %WINDIR%\Prefetch\SETUP.EXE-183299E5.pf
  • %WINDIR%\Prefetch\SETUP.EXE-1BF5B58E.pf
  • %WINDIR%\Prefetch\SETUP.EXE-314FAC7C.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-470F11BD.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-1831A4F3.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-1BC69D2D.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-2576181F.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-169CA248.pf
  • %WINDIR%\Prefetch\REGTLIBV12.EXE-35B5D8AD.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-12E27DD0.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-147710F4.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-286A7F8C.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-31EBBE5F.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-4176E9B5.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-4499C56E.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-2F26E69F.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-29373198.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-2AF77CC9.pf
  • %WINDIR%\Prefetch\RUNDLL32.EXE-2C7B5C4A.pf
  • %WINDIR%\Prefetch\VCREDI~3.EXE-0730BA06.pf
  • %WINDIR%\Prefetch\VS7.1SP1-KB9322981102-X86-ENU-356F70C0.pf
  • %WINDIR%\Prefetch\WFSERVICESREG.EXE-063492A2.pf
  • %WINDIR%\Prefetch\VCREDI~1.EXE-33033670.pf
  • %WINDIR%\Prefetch\VCREDIST_X86_2008.EXE-0322FB7F.pf
  • %WINDIR%\Prefetch\VCREDIST_X86_2010.EXE-24F154F5.pf
  • %WINDIR%\Prefetch\VCREDIST_X86_2010SP1.EXE-2DD9A199.pf
  • %WINDIR%\Prefetch\WIC_X86_ENU.EXE-0A240D86.pf
  • %WINDIR%\Prefetch\WUAUCLT.EXE-399A8E72.pf
  • %WINDIR%\Prefetch\XPSEPSC-X86-EN-US.EXE-13D81584.pf
  • %WINDIR%\Prefetch\XPSEPSC-X86-EN-US.EXE-1D9A5DDC.pf
  • %WINDIR%\Prefetch\WSCNTFY.EXE-1B24F5EB.pf
  • %WINDIR%\Prefetch\WMIADAP.EXE-2DF425B2.pf
  • %WINDIR%\Prefetch\WMIPRVSE.EXE-28F301A9.pf
  • %WINDIR%\Prefetch\WMPLAYER.EXE-18DDEF9D.pf
  • %WINDIR%\Prefetch\VCREDIST_X86_2005SP1.EXE-005B71E6.pf
  • %WINDIR%\Prefetch\TASKMGR.EXE-20256C55.pf
  • %WINDIR%\Prefetch\TOURSTART.EXE-0D0140ED.pf
  • %WINDIR%\Prefetch\UNLODCTR.EXE-37313252.pf
  • %WINDIR%\Prefetch\SVCHOST.EXE-3530F672.pf
  • %WINDIR%\Prefetch\SL38.TMP-141C07C8.pf
  • %WINDIR%\Prefetch\SPOOLSV.EXE-282F76A7.pf
  • %WINDIR%\Prefetch\SPUPDSVC.EXE-21B36524.pf
  • %WINDIR%\Prefetch\UNREGMP2.EXE-07CACB61.pf
  • %WINDIR%\Prefetch\VC6REDISTSETUP_ENU.EXE-0D8EC880.pf
  • %WINDIR%\Prefetch\VCREDIST.EXE-3810E24C.pf
  • %WINDIR%\Prefetch\VCREDIST_X86_2005.EXE-1A2586B8.pf
  • %WINDIR%\Prefetch\USERINIT.EXE-30B18140.pf
  • %WINDIR%\Prefetch\UPDATE.EXE-0B22B468.pf
  • %WINDIR%\Prefetch\UPDATE.EXE-15191106.pf
  • %WINDIR%\Prefetch\UPDATE.EXE-32EB78F6.pf
  • %WINDIR%\Prefetch\REGTLIBV12.EXE-0E2FA54B.pf
  • %WINDIR%\Prefetch\DOTNETFX35.EXE-0101DD70.pf
  • %WINDIR%\Prefetch\DOTNETFX35SETUP.EXE-39FE1058.pf
  • %WINDIR%\Prefetch\DOTNETFX40_FULL_X86_X64.EXE-2F42557F.pf
  • %WINDIR%\Prefetch\DOTNETFX3.EXE-35065F74.pf
  • %WINDIR%\Prefetch\DOTNETFX.EXE-1747AF91.pf
  • %WINDIR%\Prefetch\DOTNETFX.EXE-2AC9C3A4.pf
  • %WINDIR%\Prefetch\DOTNETFX.EXE-2FD4C451.pf
  • %WINDIR%\Prefetch\DOTNETREDIST.EXE-2C5CB08D.pf
  • %WINDIR%\Prefetch\IE4UINIT.EXE-169A5A39.pf
  • %WINDIR%\Prefetch\IEXPLORE.EXE-27122324.pf
  • %WINDIR%\Prefetch\IMAPI.EXE-0BF740A4.pf
  • %WINDIR%\Prefetch\ICWCONN1.EXE-24884676.pf
  • %WINDIR%\Prefetch\EXPLORER.EXE-082F38A9.pf
  • %WINDIR%\Prefetch\FAR.EXE-13A195F9.pf
  • %WINDIR%\Prefetch\FIREFOX.EXE-030B768A.pf
  • %WINDIR%\Prefetch\DLLHOST.EXE-5353C76C.pf
  • %WINDIR%\Prefetch\CALC.EXE-02CD573A.pf
  • %WINDIR%\Prefetch\CLEANMGR.EXE-1F86EA8E.pf
  • %WINDIR%\Prefetch\CLWIREG.EXE-2A4BC2FD.pf
  • %WINDIR%\Prefetch\ASPNET_REGIIS.EXE-38397C30.pf
  • %WINDIR%\Prefetch\ALG.EXE-0F138680.pf
  • %WINDIR%\Prefetch\ASPNET_REGIIS.EXE-009D6E80.pf
  • %WINDIR%\Prefetch\ASPNET_REGIIS.EXE-057C90FA.pf
  • %WINDIR%\Prefetch\CMD.EXE-087B4001.pf
  • %WINDIR%\Prefetch\CTFMON.EXE-0E17969B.pf
  • %WINDIR%\Prefetch\CVTRES.EXE-2329DCD5.pf
  • %WINDIR%\Prefetch\DFRGNTFS.EXE-269967DF.pf
  • %WINDIR%\Prefetch\CSRSS.EXE-12B63473.pf
  • %WINDIR%\Prefetch\CONTROL.EXE-013DBFB5.pf
  • %WINDIR%\Prefetch\CSC.EXE-01730C27.pf
  • %WINDIR%\Prefetch\CSCRIPT.EXE-1C26180C.pf
  • %WINDIR%\Prefetch\NGEN.EXE-38021CCC.pf
  • %WINDIR%\Prefetch\NTOSBOOT-B00DFAAD.pf
  • %WINDIR%\Prefetch\PERFORMANCECOUNTERINSTALLER.E-334D54EC.pf
  • %WINDIR%\Prefetch\NGEN.EXE-1F9EA69F.pf
  • %WINDIR%\Prefetch\MSMSGS.EXE-2B6052DE.pf
  • %WINDIR%\Prefetch\MSOOBE.EXE-30411B02.pf
  • %WINDIR%\Prefetch\NGEN.EXE-171CDCC6.pf
  • %WINDIR%\Prefetch\PRESETUP.EXE-1C8BD573.pf
  • %WINDIR%\Prefetch\REGSVCS.EXE-11A17120.pf
  • %WINDIR%\Prefetch\REGSVR32.EXE-25EEFE2F.pf
  • %WINDIR%\Prefetch\REGTLIB.EXE-0CCB81E6.pf
  • %WINDIR%\Prefetch\REGSVCS.EXE-077D24C2.pf
  • %WINDIR%\Prefetch\PRINTFILTERPIPELINESVC.EXE-0F2B9E77.pf
  • %WINDIR%\Prefetch\PRINTFILTERPIPELINESVC.EXE-31AE7114.pf
  • %WINDIR%\Prefetch\REGEDIT.EXE-1B606482.pf
  • %WINDIR%\Prefetch\MSIMN.EXE-38BA891D.pf
  • %WINDIR%\Prefetch\LOGONUI.EXE-0AF22957.pf
  • %WINDIR%\Prefetch\LSASS.EXE-20DB6D1B.pf
  • %WINDIR%\Prefetch\MIGPOLWIN.EXE-1EFB7D70.pf
  • %WINDIR%\Prefetch\LOGON.SCR-151EFAEA.pf
  • %WINDIR%\Prefetch\INSTALL.EXE-372327E4.pf
  • %WINDIR%\Prefetch\INSTALL.EXE-37B819BB.pf
  • %WINDIR%\Prefetch\LODCTR.EXE-1009C3B4.pf
  • %WINDIR%\Prefetch\MMC.EXE-06C90BC7.pf
  • %WINDIR%\Prefetch\MSCORSVW.EXE-1BF30400.pf
  • %WINDIR%\Prefetch\MSDTC.EXE-0E6E4AF7.pf
  • %WINDIR%\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf
  • %WINDIR%\Prefetch\MSCORSVW.EXE-1366B4F5.pf
  • %WINDIR%\Prefetch\MMC.EXE-39071BCC.pf
  • %WINDIR%\Prefetch\MOFCOMP.EXE-01718E95.pf
  • %WINDIR%\Prefetch\MSCONFIG.EXE-35E4DAE9.pf
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: '18467-41' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.