Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.KillProc.23337
Добавлен в вирусную базу Dr.Web:
2013-04-09
Описание добавлено:
2013-04-19
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'explorer.exe,<Имя вируса>.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'systemlogon' = '%WINDIR%\media\<Имя вируса>.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Taskman' = '<SYSTEM32>\<Имя вируса>.exe'
[<HKLM>\SOFTWARE\Microsoft\Command Processor] 'Autorun' = 'exit'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'sync' = '<LS_APPDATA>\sync.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'syncmanager' = '%HOMEPATH%\Templates\syncman.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'systemlogonmanager' = '%HOMEPATH%\logon.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'systemlogonscript' = '%WINDIR%\AppPatch\<Имя вируса>.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Explor' = '%HOMEPATH%\Local Settings\explorer.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Explor' = '%WINDIR%\Config\explorer.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Juke Box' = '<LS_APPDATA>\exlog.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '%APPDATA%\explorer.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Local Security Subsystem' = '%HOMEPATH%\UserData\lsass.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Local Security Subsystem' = '%WINDIR%\lsass.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '<SYSTEM32>\explorer.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
скрытых файлов
расширений файлов
блокирует запуск следующих системных утилит:
Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)
Создает и запускает на исполнение:
%HOMEPATH%\Templates\em2.exe
%HOMEPATH%\Templates\em3.exe
%HOMEPATH%\Templates\em4.exe
%HOMEPATH%\Templates\em1.exe
Запускает на исполнение:
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Anti*"
<SYSTEM32>\taskkill.exe /f /im regedit.exe /im cmd.exe /im taskmgr.exe /im avgfree.exe /im avgsetup.exe /im tsnt2008.exe /im avast.setup /im SCANWSCS.exe /im QUHLPSVC.exe /im EMLPROXY.exe /im OPSSVC.exe /im ONLINENT.exe /im UPSCHD.exe /im SENSOR.exe /im EMLPROUI.exe /im rstrui.exe /im msconfig.exe /im mmc.exe /T
<SYSTEM32>\taskkill.exe /f /im mcmscsvc.exe /im McNASvc.exe /im mcsysmon.exe /im McProxy.exe /im SiteAdv.exe /im mcagent.exe /im avgwdsvc.exe /im avgemc.exe /im avgfws8.exe /T
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Trojan*"
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Panda*"
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Virus*"
<SYSTEM32>\taskkill.exe /f /im avgcsrvx.exe /im avgnsx.exe /im avgui.exe /im avgam.exe /im avgrsx.exe /im SETUPVSE.exe /im msconfig.exe /T
<SYSTEM32>\taskkill.exe /f /im navapsvc.exe /im navapw32.exe /im navw32.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im mmc.exe /im mcregist.exe /im mcmscsvc.exe /im McNASvc.exe /im mcsysmon.exe /im McProxy.exe /im mcsysmon.exe /im McProxy.exe /im SiteAdv.exe /im mcagent.exe /im avgsetup.exe /T
<SYSTEM32>\taskkill.exe /f /im avgwdsvc.exe /im avgemc.exe /im avgfws8.exe /im avgcsrvx.exe /im avgnsx.exe /im avgui.exe /im onlinent.exe /im avgam.exe /im avgrsx.exe /im SCANWSCS.exe /im QUHLPSVC.exe /im EMLPROXY.exe /im OPSSVC.exe /im ONLINENT.exe /im UPSCHD.exe /im SENSOR.exe /im EMLPROUI.exe /im SCANNER.exe /T
<SYSTEM32>\taskkill.exe /f /im avsched32.exe /im mmc.exe /im blackice.exe /im ccapp.exe /im ccproxy.exe /im cleaner.exe /im fameh32.exe /im fch32.exe /im smc.exe /im fih32.exe /im fnrb32.exe /im regedit.exe /im cmd.exe /im taskmgr.exe /im cmd.exe /im mcregist.exe /T
<SYSTEM32>\ping.exe /a /n 5 /l 65500 www.so##s.pk
<SYSTEM32>\taskkill.exe /f /im SCANWSCS.exe /im QUHLPSVC.exe /im EMLPROXY.exe /im OPSSVC.exe /im ONLINENT.exe /im UPSCHD.exe /im SENSOR.exe /im EMLPROUI.exe /im SCANNER.exe /T
<SYSTEM32>\taskkill.exe /f /im ants.exe /im atwatch.exe /im avengine.exe /im avgcc32.exe /im avgnt.exe /im ccapp.exe /im avguard.exe /im avnt.exe /im avp.exe /im avpcc.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im fsav32.exe /im fsgk32.exe /im pavfires.exe /T
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq PC TOOL*"
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Quick Heal*"
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Norton*"
%WINDIR%\explorer.exe C:\
<SYSTEM32>\reg.exe delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot /f
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Symantec*"
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq McAfee*"
<SYSTEM32>\taskkill.exe /f /im mmc.exe /im outpost.exe /im pavfires.exe /im pavproxy.exe /im pccntmon.exe /im persfw.exe /im avast.setup /im regedit.exe /im cmd.exe /im taskmgr.exe /im cmd.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im fsav32.exe /im fsgk32.exe /im pavfires.exe /T
<SYSTEM32>\taskkill.exe /f /im navapsvc.exe /im navapw32.exe /im navw32.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im anti-trojan.exe /im vbcons.exe /im vsmon.exe /im vsserv.exe /im vsstat.exe /im zapro.exe /im inst.exe /im qhunpack.exe /im tsnt2008.exe /im onlinent.exe /im mcregist.exe /im rstrui.exe /T
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Zone*"
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Bit*"
<SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq AVG*"
<SYSTEM32>\taskkill.exe /f /im avgsetup.exe /im avgfree.exe /T
Завершает или пытается завершить
следующие пользовательские процессы:
AVP.EXE
AVGCC32.EXE
AVPCC.EXE
smc.exe
ccapp.exe
MCAGENT.EXE
fsav32.exe
fsav.exe
outpost.exe
zapro.exe
NAVAPW32.EXE
Изменяет следующие настройки проводника Windows (Windows Explorer):
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000001'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
%WINDIR%\Config\explorer.exe
%APPDATA%\explorer.exe
<LS_APPDATA>\log.dll
%HOMEPATH%\Local Settings\explorer.exe
%HOMEPATH%\Userdata\lsass.exe
<LS_APPDATA>\wsx.dll
<LS_APPDATA>\fold.dll
<SYSTEM32>\explorer.exe
%WINDIR%\lsass.exe
%TEMP%\em3.dll
%TEMP%\em4.dll
%TEMP%\em1.dll
%TEMP%\em2.dll
%HOMEPATH%\Templates\em4.exe
%HOMEPATH%\Templates\em3.exe
<LS_APPDATA>\exlog.exe
%HOMEPATH%\Templates\em1.exe
%HOMEPATH%\Templates\em2.exe
Присваивает атрибут 'скрытый' для следующих файлов:
%HOMEPATH%\Templates\em2.exe
%HOMEPATH%\Templates\em3.exe
<LS_APPDATA>\wsx.dll
%HOMEPATH%\Templates\em1.exe
<Полный путь к вирусу>
%HOMEPATH%\Templates\em4.exe
<LS_APPDATA>\exlog.exe
Удаляет следующие файлы:
Подменяет файл HOSTS.
Другое:
Ищет следующие окна:
ClassName: '' WindowName: 'Quick Heal Total Security Uninstaller'
ClassName: '' WindowName: 'Setup'
ClassName: '' WindowName: ''
ClassName: 'Indicator' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK