Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Crossrider.25864

Добавлен в вирусную базу Dr.Web: 2014-07-11

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
  • %WINDIR%\Tasks\7526cb4b-21c3-4c1d-8405-5240e3f2a0d1-4.job
  • %WINDIR%\Tasks\7526cb4b-21c3-4c1d-8405-5240e3f2a0d1-11.job
Вредоносные функции:
Создает и запускает на исполнение:
  • '%PROGRAM_FILES%\enformation\7526cb4b-21c3-4c1d-8405-5240e3f2a0d1-11.exe' /YOzDxN=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
  • '%TEMP%\comh.127643\GoogleUpdate.exe' /silent /install "appguid={8aa228a9-c24b-4e8d-9bae-c805cd693ce9}&appname=d0b61bc2-187f-42e7-9799-9f872300197d&needsadmin=True&lang=en"
  • '%TEMP%\nsz3.tmp\Jqcynpuquspx.exe'
Завершает или пытается завершить
следующие пользовательские процессы:
  • opera.exe
  • firefox.exe
  • iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\comh.127643\npGoogleUpdate4.dll
  • %TEMP%\comh.127643\goopdateres_en.dll
  • %TEMP%\comh.127643\psmachine.dll
  • %PROGRAM_FILES%\globalUpdate\Update\1.3.25.0\GoogleUpdate.exe
  • %TEMP%\comh.127643\psuser.dll
  • %TEMP%\comh.127643\GoogleUpdateBroker.exe
  • %TEMP%\comh.127643\GoogleUpdate.exe
  • %TEMP%\comh.127643\GoogleUpdateHelper.msi
  • %TEMP%\comh.127643\goopdate.dll
  • %TEMP%\comh.127643\GoogleUpdateOnDemand.exe
  • %PROGRAM_FILES%\globalUpdate\Update\1.3.25.0\goopdate.dll
  • %APPDATA%\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
  • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
  • %TEMP%\Cab7.tmp
  • %TEMP%\nsb6.tmp\ExecDos.dll
  • %PROGRAM_FILES%\enformation\7526cb4b-21c3-4c1d-8405-5240e3f2a0d1-11.exe
  • %PROGRAM_FILES%\enformation\360-56508.crx
  • %PROGRAM_FILES%\enformation\1293297481.mxaddon
  • %PROGRAM_FILES%\enformation\7526cb4b-21c3-4c1d-8405-5240e3f2a0d1.crx
  • %APPDATA%\Microsoft\CryptnetUrlCache\Content\2BF68F4714092295550497DD56F57004
  • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004
  • %TEMP%\comh.127643\GoogleCrashHandler.exe
  • %TEMP%\nsk5.tmp
  • %TEMP%\nsz3.tmp\StdUtils.dll
  • %TEMP%\nsb6.tmp\StdUtils.dll
  • %TEMP%\nsb6.tmp\InstallerUtils.dll
  • %TEMP%\nsb6.tmp\System.dll
  • %TEMP%\nsz3.tmp\System.dll
  • %TEMP%\nsk2.tmp
  • %TEMP%\nsz3.tmp\Hoimjs.tmp
  • %TEMP%\nsz3.tmp\Jqcynpuquspx.exe
  • %TEMP%\nsz3.tmp\WrapperUtils.dll
  • %TEMP%\nsb6.tmp\InstallerUtils2.dll
  • %PROGRAM_FILES%\enformation\utils.exe
  • %TEMP%\nsb6.tmp\update.json
  • %TEMP%\nsb6.tmp\120408
  • %PROGRAM_FILES%\enformation\Uninstall.exe
  • %TEMP%\nsb6.tmp\409805
  • %TEMP%\nsb6.tmp\md5dll.dll
  • %TEMP%\nsb6.tmp\nsisos.dll
  • %TEMP%\nsb6.tmp\UserInfo.dll
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\update[1].json
  • %TEMP%\nsb6.tmp\inetc.dll
Удаляет следующие файлы:
  • %TEMP%\Cab7.tmp
  • %TEMP%\nsb6.tmp\409805
Сетевая активность:
Подключается к:
  • 'lo##.##ninfocloud.com':80
  • 'www.download.windowsupdate.com':80
  • 'cr#.#hawte.com':80
  • 'up####.geninfocloud.com':80
  • 'er####.geninfocloud.com':80
  • 'st###.#eninfocloud.com':80
TCP:
Запросы HTTP GET:
  • www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
  • cr#.#hawte.com/ThawteTimestampingCA.crl
  • up####.geninfocloud.com/installer_updates/001485/update.json
  • www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt
UDP:
  • DNS ASK lo##.##ninfocloud.com
  • DNS ASK www.download.windowsupdate.com
  • DNS ASK cr#.#hawte.com
  • DNS ASK up####.geninfocloud.com
  • DNS ASK er####.geninfocloud.com
  • DNS ASK st###.#eninfocloud.com
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке