Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Hosts.33042

Добавлен в вирусную базу Dr.Web: 2014-10-03

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] '{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SASDIFSV] 'Start' = '00000001'
  • [<HKLM>\SYSTEM\ControlSet001\Services\SASDIFSV] 'ImagePath' = '%PROGRAM_FILES%\SUPERAntiSpyware\SASDIFSV.SYS'
  • [<HKLM>\SYSTEM\ControlSet001\Services\SASKUTIL] 'ImagePath' = '%PROGRAM_FILES%\SUPERAntiSpyware\SASKUTIL.SYS'
  • [<HKLM>\SYSTEM\ControlSet001\Services\!SASCORE] 'Start' = '00000002'
  • [<HKLM>\SYSTEM\ControlSet001\Services\SASKUTIL] 'Start' = '00000001'
Вредоносные функции:
Создает и запускает на исполнение:
  • '%PROGRAM_FILES%\SUPERAntiSpyware\SASCore.exe'
  • '%PROGRAM_FILES%\SUPERAntiSpyware\SUPERAntiSpyware.exe'
  • '%TEMP%\Setup.exe' /silent
  • '%PROGRAM_FILES%\SUPERAntiSpyware\SASCore.exe' -install -name:!SASCORE -display:"SAS Core Service" -description:"SUPERAntiSpyware Core Service" -pipe:sascoreservicepipe
Запускает на исполнение:
  • '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\SUPERAntiSpyware\SASSEH.DLL"
  • '<SYSTEM32>\ipconfig.exe' /renew *
  • '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\SUPERAntiSpyware\SASCTXMN.DLL"
  • '<SYSTEM32>\ipconfig.exe' /release *
  • '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\SUPERAntiSpyware\SASWINLO.DLL
Изменения в файловой системе:
Создает следующие файлы:
  • %PROGRAM_FILES%\SUPERAntiSpyware\High Contrast Black.set
  • %PROGRAM_FILES%\SUPERAntiSpyware\SAS Default.set
  • %PROGRAM_FILES%\SUPERAntiSpyware\SUPERDelete.exe
  • %ALLUSERSPROFILE%\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Help.lnk
  • %ALLUSERSPROFILE%\Start Menu\Programs\SUPERAntiSpyware\BootSafe.lnk
  • %ALLUSERSPROFILE%\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Professional.lnk
  • %PROGRAM_FILES%\SUPERAntiSpyware\sas_enum_cookies.exe
  • %PROGRAM_FILES%\SUPERAntiSpyware\Uninstall.exe
  • %PROGRAM_FILES%\SUPERAntiSpyware\SUPERAntiSpyware.exe
  • %PROGRAM_FILES%\SUPERAntiSpyware\SSUpdate.exe
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\superantispyware.db3
  • %PROGRAM_FILES%\SUPERAntiSpyware\SASTask.exe
  • %PROGRAM_FILES%\SUPERAntiSpyware\SAS_Preconfig.db3
  • %ALLUSERSPROFILE%\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Registration-Activation.lnk
  • %APPDATA%\SUPERAntiSpyware.com\SUPERAntiSpyware\SAS_CURRENTUSER.DB3
  • %APPDATA%\SUPERAntiSpyware.com\SUPERAntiSpyware\SAS_CURRENTUSER.DB3-journal
  • %APPDATA%\SUPERAntiSpyware.com\SUPERAntiSpyware\sas-data.tmp
  • %TEMP%\aut2.tmp
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SAS_ALLUSER.DB3
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SAS_ALLUSER.DB3-journal
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\sas-data.tmp
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SetupOptions.db3-journal
  • %ALLUSERSPROFILE%\Desktop\SUPERAntiSpyware Professional.lnk
  • %ALLUSERSPROFILE%\Start Menu\Programs\SUPERAntiSpyware\SUPERAntiSpyware Alternate Start.lnk
  • %PROGRAM_FILES%\SUPERAntiSpyware\Uninstall.dat
  • %PROGRAM_FILES%\SUPERAntiSpyware\Uninstall.dat-journal
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SetupOptions.db3
  • %TEMP%\SUPERSetup\SupportCom_Chrome_V2.exe
  • %TEMP%\SUPERSetup\setup.dll
  • %TEMP%\SUPERSetup\gcapi_dll.dll
  • %PROGRAM_FILES%\SUPERAntiSpyware\BootSafe.exe
  • %TEMP%\SUPERSetup\setup.db3
  • %TEMP%\SUPERSetup\side.bmp
  • %TEMP%\SUPERSetup\SAS_LaunchChromeSetup.exe
  • %TEMP%\SUPERSetup\Thumbs.db
  • %TEMP%\Setup.exe
  • %TEMP%\aut1.tmp
  • %TEMP%\SUPERSetup\eula.rtf
  • %TEMP%\SUPERSetup\promo.html
  • %TEMP%\SUPERSetup\top.bmp
  • %PROGRAM_FILES%\SUPERAntiSpyware\detect.wav
  • %PROGRAM_FILES%\SUPERAntiSpyware\SASCore.exe
  • %PROGRAM_FILES%\SUPERAntiSpyware\Plugins\sab_wab.dll
  • %PROGRAM_FILES%\SUPERAntiSpyware\Plugins\sab_mapi.dll
  • %PROGRAM_FILES%\SUPERAntiSpyware\SASKUTIL.SYS
  • %PROGRAM_FILES%\SUPERAntiSpyware\sasdifsv.sys
  • %PROGRAM_FILES%\SUPERAntiSpyware\SASCTXMN.DLL
  • %PROGRAM_FILES%\SUPERAntiSpyware\Plugins\sab_incr.dll
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\PROCESSLISTRELATED.DB
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\PROCESSLIST.BIN
  • %PROGRAM_FILES%\SUPERAntiSpyware\msvcr71.dll
  • %PROGRAM_FILES%\SUPERAntiSpyware\SASSEH.DLL
  • %PROGRAM_FILES%\SUPERAntiSpyware\SASREPAIRS.STG
  • %PROGRAM_FILES%\SUPERAntiSpyware\RUNSAS.EXE
Присваивает атрибут 'скрытый' для следующих файлов:
  • %TEMP%\Setup.exe
Удаляет следующие файлы:
  • %APPDATA%\SUPERAntiSpyware.com\SUPERAntiSpyware\sas-data.tmp
  • %APPDATA%\SUPERAntiSpyware.com\SUPERAntiSpyware\SAS_CURRENTUSER.DB3-journal
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\sas-data.tmp
  • %TEMP%\SUPERSetup\Thumbs.db
  • %TEMP%\SUPERSetup\top.bmp
  • %TEMP%\Setup.exe
  • %TEMP%\SUPERSetup\setup.db3
  • %TEMP%\aut2.tmp
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SAS_ALLUSER.DB3-journal
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SetupOptions.db3
  • %TEMP%\SUPERSetup\eula.rtf
  • %TEMP%\SUPERSetup\gcapi_dll.dll
  • %PROGRAM_FILES%\SUPERAntiSpyware\Uninstall.dat-journal
  • %TEMP%\aut1.tmp
  • %ALLUSERSPROFILE%\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SetupOptions.db3-journal
  • %TEMP%\SUPERSetup\side.bmp
  • %TEMP%\SUPERSetup\SupportCom_Chrome_V2.exe
  • %TEMP%\SUPERSetup\setup.dll
  • %TEMP%\SUPERSetup\promo.html
  • %TEMP%\SUPERSetup\SAS_LaunchChromeSetup.exe
Изменяет файл HOSTS.
Сетевая активность:
UDP:
  • 'localhost':1050
  • 'localhost':1051
  • 'localhost':1046
  • 'localhost':1047
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке