Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Yontoo.144

Добавлен в вирусную базу Dr.Web: 2014-11-30

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\services\sppsvc] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
  • '<SYSTEM32>\slui.exe' -Embedding
  • '<SYSTEM32>\sppsvc.exe'
  • '<SYSTEM32>\slui.exe' 0xa74 <Имя вируса>.exe
  • '<SYSTEM32>\conhost.exe'
  • '<SYSTEM32>\Wat\WatAdminSvc.exe' /run
  • '<SYSTEM32>\wermgr.exe' "-queuereporting_svc" "C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_svchost.exe_52af572445f4c307ead62f0a298ede633d3ed9_cab_03d3161f"
  • '<SYSTEM32>\svchost.exe' -k NetworkService
Завершает или пытается завершить
следующие системные процессы:
  • <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab692F.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab690E.tmp
  • <SYSTEM32>\Microsoft\Protect\S-1-5-19\64db679c-5390-4a44-9006-15ff82514a90
  • <Служебный элемент>
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B46.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B25.tmp
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\A89DFCC31C360BA5CBD616749B1B1C5D
  • %WINDIR%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\C24EC5BDAF13613245B4CECC3DE91DC6
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
  • <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\A89DFCC31C360BA5CBD616749B1B1C5D
  • %WINDIR%\Temp\tmp477B.tmp
  • %WINDIR%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\C24EC5BDAF13613245B4CECC3DE91DC6
Удаляет следующие файлы:
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B25.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B46.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab692F.tmp
  • %WINDIR%\Temp\tmp477B.tmp
  • %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab690E.tmp
Перемещает следующие файлы:
  • C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_svchost.exe_52af572445f4c307ead62f0a298ede633d3ed9_cab_03d3161f\Report.wer.tmp в C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_svchost.exe_52af572445f4c307ead62f0a298ede633d3ed9_cab_03d3161f\Report.wer
Сетевая активность:
Подключается к:
  • 'sf.##mcd.com':80
  • 'crl.verisign.com':80
  • 'ap#.###dingmypage.com':80
  • 'sf.##mcb.com':80
  • 'oc##.#erisign.com':80
  • 'ct###.#indowsupdate.com':80
  • 'localhost':5357
  • '20#.#6.232.182':80
TCP:
Запросы HTTP GET:
  • sf.##mcb.com/sf.crl
  • 20#.#6.232.182/fwlink/?Li###########
  • sf.##mcd.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%2FX8AUm7%2BPSp50CEFCXRhqUcf3SsCBJG0ZM3Nk%3D
  • 20#.#6.232.182/pki/crl/products/CodeSignPCA.crl
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?d4##############
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?07##############
  • oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMCEFIA5aolVvwahu2WydRLM8c%3D
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?22##############
  • ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?f8##############
  • 20#.#6.232.182/pki/crl/products/WinPCA.crl
  • crl.verisign.com/pca3-g5.crl
  • 20#.#6.232.182/pki/crl/products/microsoftrootcert.crl
Запросы HTTP POST:
  • ap#.###dingmypage.com/rs
UDP:
  • DNS ASK sf.##mcd.com
  • DNS ASK ap#.###dingmypage.com
  • DNS ASK www.microsoft.com
  • DNS ASK sf.##mcb.com
  • DNS ASK go.###rosoft.com
  • DNS ASK oc##.#erisign.com
  • DNS ASK ct###.#indowsupdate.com
  • DNS ASK crl.microsoft.com
  • DNS ASK crl.verisign.com
  • 'localhost':61742
  • 'localhost':56694
  • '20#.#6.232.182':3544
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке