Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Adware.Gexin.6983

Добавлен в вирусную базу Dr.Web: 2018-12-24

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) t####.c####.q####.####.com:80
  • TCP(HTTP/1.1) sdk.o####.p####.####.com:80
  • TCP(HTTP/1.1) h####.shangha####.com:80
  • TCP(HTTP/1.1) c-h####.g####.com:80
  • TCP(HTTP/1.1) a####.yo####.com.####.com:80
  • TCP(HTTP/1.1) jz.you####.com:80
  • TCP(HTTP/1.1) reso####.msg.xi####.net:80
  • TCP(HTTP/1.1) thi####.q####.cn:80
  • TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
  • TCP(TLS/1.0) z.c####.com:443
  • TCP(TLS/1.0) 1####.217.17.142:443
  • TCP(TLS/1.0) eco####.me####.com.####.com:443
  • TCP(TLS/1.0) jz.yo####.com:443
  • TCP(TLS/1.0) evtup####.yo####.com:443
  • TCP(TLS/1.0) s####.tc.qq.com:443
  • TCP(TLS/1.0) gm.mm####.com:443
  • TCP(TLS/1.0) a####.yo####.com.####.com:443
  • TCP(TLS/1.0) regi####.xm####.gl####.####.com:443
  • TCP(TLS/1.0) c.c####.com:443
  • TCP sdk.o####.t####.####.com:5224
  • TCP app.c####.gl####.####.net:5222
  • TCP c####.g####.ig####.com:5227
Запросы DNS:
  • 7j####.c####.z0.####.com
  • a####.yo####.com
  • app.c####.gl####.####.net
  • c####.g####.ig####.com
  • c####.mm####.com
  • c-h####.g####.com
  • c.c####.com
  • eco####.me####.com
  • evtup####.yo####.com
  • h####.shangha####.com
  • jz.yo####.com
  • jz.you####.com
  • jzst####.you####.com
  • q.q####.cn
  • r####.wx.qq.com
  • regi####.xm####.gl####.####.com
  • reso####.msg.xi####.net
  • s22.c####.com
  • sdk.c####.ig####.com
  • sdk.o####.p####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.net
  • thi####.q####.cn
  • thi####.q####.cn
  • u####.u####.com
  • z1.c####.com
Запросы HTTP GET:
  • a####.yo####.com.####.com//jzadmin/images/15408685651052596.jpg
  • a####.yo####.com.####.com//jzadmin/images/15432167881327892.jpg
  • a####.yo####.com.####.com//jzadmin/images/15434834755176048.jpg
  • a####.yo####.com.####.com//jzadmin/images/15435610867956270.jpg
  • a####.yo####.com.####.com//jzadmin/images/15438074261718506.png
  • a####.yo####.com.####.com//jzadmin/images/15438959074292277.jpg
  • a####.yo####.com.####.com//jzadmin/images/1544175801114889.jpg
  • a####.yo####.com.####.com//jzadmin/images/15445201579185013.jpg
  • a####.yo####.com.####.com//jzadmin/images/15446965164363217.jpg
  • a####.yo####.com.####.com//jzadmin/images/15446971900126416.png
  • a####.yo####.com.####.com//jzadmin/images/1544766573095987.jpg
  • a####.yo####.com.####.com//jzadmin/images/15450349080746331.jpg
  • a####.yo####.com.####.com//jzadmin/images/1545111734122121.png
  • a####.yo####.com.####.com//jzadmin/images/15451117423911023.png
  • a####.yo####.com.####.com//jzadmin/images/15451117498956349.png
  • a####.yo####.com.####.com//jzadmin/images/15451117557459190.png
  • a####.yo####.com.####.com//jzadmin/images/15451869413461542.jpg
  • a####.yo####.com.####.com//jzadmin/images/15452088104407863.jpg
  • a####.yo####.com.####.com/image/user_icon/201801/6078370070436169907.jpg
  • a####.yo####.com.####.com/jzadmin/images/15347654537417516.png
  • h####.shangha####.com/gjj/cpixeljz.cy
  • jz.you####.com/image//user_icon/201836/4a131cfc04b04f6780c66959a1c60e5bd...
  • jz.you####.com/image//user_icon/201837/92bc06c06f8c4d6fb7bb00a205f89b09a...
  • jz.you####.com/image//user_icon/201841/31be9ae4f91f4e7ab5c3751af5a0b8328...
  • jz.you####.com/image//user_icon/201843/33a98e425bf84ec2be114b2a93519b461...
  • jz.you####.com/image//user_icon/201844/53b0eaff4f0d46ef9ddf5814dcb7541cc...
  • jz.you####.com/image//user_icon/201846/66219ab896a74b6dbe4480708c0dd318e...
  • jz.you####.com/image//user_icon/201850/188e281af23f4710a600192215da18760...
  • jz.you####.com/image//user_icon/201851/2edb6716223f40ad99b70a44efdf724ee...
  • reso####.msg.xi####.net/gslb/?ver=4.0&type=wap&conpt=dvidpodv >>4>>4>>4...
  • t####.c####.q####.####.com/tdata_OPb601
  • t####.c####.q####.####.com/tdata_YYn966
  • thi####.q####.cn/mmopen/vi_32/MyOLsQ509p76kltQw5EnFpyiaMRpcD4gsibsbctrmX...
  • thi####.q####.cn/mmopen/vi_32/Q0j4TwGTfTIPhsrhOFictxr6cZ0ibnKqHZmQMUBicB...
  • thi####.q####.cn/mmopen/vi_32/Q0j4TwGTfTLHkjBmNJ8ic2Qe3bYGuzQJouo8jNKAbI...
  • thi####.q####.cn/mmopen/vi_32/VYneMJE72icj0nPQSvLQ7sbpZibGoCTt7m3juibYOb...
  • thi####.q####.cn/qqapp/1105340301/7784E2CC23568EF6AE598A5C39245912/100
  • thi####.q####.cn/qqapp/1105340301/AEAE4BB199283366C401F27E518EE23D/100
  • thi####.q####.cn/qqapp/1105340301/FA9CD3A7042A7E247B2ACD1ECC630DCD/100
Запросы HTTP POST:
  • c-h####.g####.com/api.php?format=####&t=####
  • sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/07d58570b4040987c57ee649121fc222.0.tmp
  • /data/data/####/07d58570b4040987c57ee649121fc222.1.tmp
  • /data/data/####/0bb79f2fc9cae37ea7c33346a69ee25f.0.tmp
  • /data/data/####/0bb79f2fc9cae37ea7c33346a69ee25f.1.tmp
  • /data/data/####/0dccab69536510ace03632c249770a5339a3ca118063ee4....0.tmp
  • /data/data/####/175a7e36ca43dc55fd5fcc38e449105a98672cf628664b6....0.tmp
  • /data/data/####/1860
  • /data/data/####/240cf275563bd369bc69cede9dd64b6597b4647da04a0c2....0.tmp
  • /data/data/####/240da44e104089f3aa09fe5ac2fddad4d8fd2773161f242....0.tmp
  • /data/data/####/2889b3b89b750513c37bca1c962c80734bff700fb454ba6....0.tmp
  • /data/data/####/293315668afab8acac9c671b0969fe48dac9794520b88e3....0.tmp
  • /data/data/####/294c42464de1a58a4b756040afe8f97b.0.tmp
  • /data/data/####/294c42464de1a58a4b756040afe8f97b.1.tmp
  • /data/data/####/2e8203ba23e015c0d08b1ebdceaf991f.0.tmp
  • /data/data/####/2e8203ba23e015c0d08b1ebdceaf991f.1.tmp
  • /data/data/####/2f406919596e6b5363382fba1e63a356b9abe5db21a0176....0.tmp
  • /data/data/####/312d5826b3cea652f5f258fa060d947b.0.tmp
  • /data/data/####/312d5826b3cea652f5f258fa060d947b.1.tmp
  • /data/data/####/3997f9c0ea540450ede6213d1554a207f363c1356d5aa5b....0.tmp
  • /data/data/####/416e0f08a35da2f1aa91b5f70edca51a.0.tmp
  • /data/data/####/416e0f08a35da2f1aa91b5f70edca51a.1.tmp
  • /data/data/####/420cc42ae3b6158a6d7c48c45b0ea67b.0.tmp
  • /data/data/####/420cc42ae3b6158a6d7c48c45b0ea67b.1.tmp
  • /data/data/####/42c344284bdd61870f221366228154df4b525ab0dcfc74b....0.tmp
  • /data/data/####/5ab3f5219cbd362a4417239e3266ea709eccf772213d6e1....0.tmp
  • /data/data/####/5d49a648916d3d9a20b49c8c8ac0bdad5d78e5c35829756....0.tmp
  • /data/data/####/6b4314127f81eba60ee3853ee0285dc01d5b7febbfa623f....0.tmp
  • /data/data/####/6ed2f56e6ecaf20b9b612573ca75da539bf2d366b54d8e6....0.tmp
  • /data/data/####/72d9caaa4f287443f37f809c00e001f6eac0ea659bccd72....0.tmp
  • /data/data/####/74202c65d4d882ffcb865424492d8d5f5eec57ffd6c31ba....0.tmp
  • /data/data/####/8219efa1b4bd74973c6b5e238c48ffcd.0.tmp
  • /data/data/####/8219efa1b4bd74973c6b5e238c48ffcd.1.tmp
  • /data/data/####/8c64de617660407fade525c6a7e03357.0.tmp
  • /data/data/####/8c64de617660407fade525c6a7e03357.1.tmp
  • /data/data/####/8eff30a8621959dbe56d2046b7fbac79.0.tmp
  • /data/data/####/8eff30a8621959dbe56d2046b7fbac79.1.tmp
  • /data/data/####/90cc6ca1c3fe0effe57a70fbc382f965.0.tmp
  • /data/data/####/90cc6ca1c3fe0effe57a70fbc382f965.1.tmp
  • /data/data/####/9235ae6faf9e06c126a12b52199ef9e3.0.tmp
  • /data/data/####/9235ae6faf9e06c126a12b52199ef9e3.1.tmp
  • /data/data/####/991754efe45bbc1743061327688fdca2.0.tmp
  • /data/data/####/991754efe45bbc1743061327688fdca2.1.tmp
  • /data/data/####/996b6fd30b8350ce470af9781978d154.0.tmp
  • /data/data/####/996b6fd30b8350ce470af9781978d154.1.tmp
  • /data/data/####/9c481e204a6066aca715159f7a24e0063e9d5ee3d6880b0....0.tmp
  • /data/data/####/BuglySdkInfos.xml
  • /data/data/####/CaiyiPush.xml
  • /data/data/####/Meiqia.xml
  • /data/data/####/MultiDex.lock
  • /data/data/####/UserInfo.xml
  • /data/data/####/XMPushServiceConfig.xml
  • /data/data/####/a47d5e695e466cd51bcb64b31dab9697.0.tmp
  • /data/data/####/a47d5e695e466cd51bcb64b31dab9697.1.tmp
  • /data/data/####/a93f958c123599bdf1820ea305eec9c7dcaca0bf572b81b....0.tmp
  • /data/data/####/a==7.5.1&&4.3.0_1545613158892_envelope.log
  • /data/data/####/ad_struct
  • /data/data/####/aff5ee0b40644c651237608563eebb4c139c96c3b2aae51....0.tmp
  • /data/data/####/ba621beddb5cdbf1bda30e57da75edde03d966875c02626....0.tmp
  • /data/data/####/bfb1289470df2f3904a6f5fbaf4bd60f3b77c6b1372a901....0.tmp
  • /data/data/####/c70dba3e8002635379d1cda7da358487.0.tmp
  • /data/data/####/c70dba3e8002635379d1cda7da358487.1.tmp
  • /data/data/####/ca3bb006a92badef6073056cd7546de4862d35b8fd8a7cf....0.tmp
  • /data/data/####/com.jz.youyu6796113d00719acec0a31727f572a26e.xml
  • /data/data/####/com.jz.youyu;pushservice
  • /data/data/####/com.jz.youyu_preferences.xml
  • /data/data/####/data_0
  • /data/data/####/data_1
  • /data/data/####/data_2
  • /data/data/####/data_3
  • /data/data/####/e5e2c7500599bcc62922e68851bd21c51d819781f2a919a....0.tmp
  • /data/data/####/e63b5bbb34ec93ba9da562a00c258788.0.tmp
  • /data/data/####/e63b5bbb34ec93ba9da562a00c258788.1.tmp
  • /data/data/####/ea1db0d6c5fd3f8855f303ea3f28bf17.0.tmp
  • /data/data/####/ea1db0d6c5fd3f8855f303ea3f28bf17.1.tmp
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/f267bf8e19886af033834b553d4d032e.0.tmp
  • /data/data/####/f267bf8e19886af033834b553d4d032e.1.tmp
  • /data/data/####/f_000001
  • /data/data/####/f_000002
  • /data/data/####/f_000003
  • /data/data/####/f_000004
  • /data/data/####/f_000005
  • /data/data/####/f_000006
  • /data/data/####/f_000007
  • /data/data/####/f_000008
  • /data/data/####/f_000009
  • /data/data/####/f_00000a
  • /data/data/####/f_00000b
  • /data/data/####/f_00000c
  • /data/data/####/f_00000d
  • /data/data/####/f_00000e
  • /data/data/####/f_00000f
  • /data/data/####/fe4a7d2c2e5e7eb1b11a70de2865dfdf.0.tmp
  • /data/data/####/fe4a7d2c2e5e7eb1b11a70de2865dfdf.1.tmp
  • /data/data/####/fe5a1e1d552b8a22984fe06e54116478.0.tmp
  • /data/data/####/fe5a1e1d552b8a22984fe06e54116478.1.tmp
  • /data/data/####/feb1b464c16010c08380e694778f2617.0.tmp
  • /data/data/####/feb1b464c16010c08380e694778f2617.1.tmp
  • /data/data/####/gdaemon_20161017
  • /data/data/####/geofencing.db
  • /data/data/####/geofencing.db-journal
  • /data/data/####/getui_sp.xml
  • /data/data/####/gx_sp.xml
  • /data/data/####/index
  • /data/data/####/init.pid
  • /data/data/####/init_c1.pid
  • /data/data/####/journal.tmp
  • /data/data/####/jz.db-journal
  • /data/data/####/jz_banner.json
  • /data/data/####/libjiagu188558744.so
  • /data/data/####/meiqia.db
  • /data/data/####/meiqia.db-journal
  • /data/data/####/message_list.json
  • /data/data/####/mipush.xml
  • /data/data/####/mipush_account.xml
  • /data/data/####/mipush_extra.xml
  • /data/data/####/mipush_region
  • /data/data/####/mipush_region.lock
  • /data/data/####/multidex.version.xml
  • /data/data/####/pref_registered_pkg_names.xml
  • /data/data/####/push.pid
  • /data/data/####/pushext.db-journal
  • /data/data/####/pushg.db-journal
  • /data/data/####/pushsdk.db-journal
  • /data/data/####/run.pid
  • /data/data/####/sample.db
  • /data/data/####/sample.db-journal
  • /data/data/####/sample.zip
  • /data/data/####/skin_plugin_pref.xml
  • /data/data/####/sp_client_report_status.xml
  • /data/data/####/start_cache.json
  • /data/data/####/tdata_OPb601
  • /data/data/####/tdata_OPb601.jar
  • /data/data/####/tdata_YYn966
  • /data/data/####/tdata_YYn966.jar
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/umeng_common_config.xml
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/data/####/youyutongji
  • /data/data/####/youyutongji-journal
  • /data/media/####/.nomedia
  • /data/media/####/app.db
  • /data/media/####/com.getui.sdk.deviceId.db
  • /data/media/####/com.igexin.sdk.deviceId.db
  • /data/media/####/com.jz.youyu.bin
  • /data/media/####/com.jz.youyu.db
  • /data/media/####/log.lock
  • /data/media/####/log1.txt
  • /data/media/####/tdata_OPb601
  • /data/media/####/tdata_YYn966
  • /data/media/####/test.log
  • /data/media/####/yyid11
Другие:
Запускает следующие shell-скрипты:
  • <Package Folder>/files/gdaemon_20161017 0 <Package>/com.caiyi.push.service.GetuiPushService 24226 300 0
  • chmod 700 <Package Folder>/files/gdaemon_20161017
  • sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.caiyi.push.service.GetuiPushService 24226 300 0
Загружает динамические библиотеки:
  • BaiduSpeechSDK
  • getuiext2
  • libjiagu188558744
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке