Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Inject.63354
Добавлен в вирусную базу Dr.Web:
2012-02-09
Описание добавлено:
2012-03-01
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'googletalk' = '%APPDATA%\Google Talk\googletalk.exe /autostart'
Вредоносные функции:
Создает и запускает на исполнение:
%TEMP%\8414.exe
%TEMP%\6119.exe
Запускает на исполнение:
<SYSTEM32>\systeminfo.exe
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\8414.exe
%TEMP%\bm3.tmp
%APPDATA%\Google Talk\googletalk.exe
%TEMP%\nsz2.tmp
%TEMP%\6119.exe
%APPDATA%\Microsoft\Sze\hqhmp
Удаляет следующие файлы:
Другое:
Ищет следующие окна:
ClassName: 'STATUS_PLUGPLAYED NO SIGNMENT_UND' WindowName: '%s\V34EcFeConsidualQueueStreamHeap creamTx-Rx Proc'
ClassName: 'STATUS_NOTIFY_TIMER_CALC_ADDBA' WindowName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect'
ClassName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect' WindowName: 'STATUS_CARD_LINKQ -> shout
'
ClassName: 'STATUS_PLUGPLAYED NO SIGNMENT_UND' WindowName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect'
ClassName: 'BCS_EV_MMAC_OID_SISO_40M - IoGetSysted valid number size %d
' WindowName: 'BCS_EV_MMAC_OID_SISO_40M - IoGetSysted valid number size %d
'
ClassName: 'EV_MMAC_OID_DRIVILE' WindowName: 'STATUS_CARD_LINKQ -> shout
'
ClassName: 'BCS_EV_MMAC_OID_SISO_40M - IoGetSysted valid number size %d
' WindowName: 'Dired/Start Array'
ClassName: 'A diff xx
' WindowName: 'A diff xx
'
ClassName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect' WindowName: 'IfCmd: mints'
ClassName: 'm_SymAgcContainUpString' WindowName: 'CSamplesInstabase'
ClassName: 'Error: buffer inished Uninstation Sparam: ' WindowName: 'Error: buffer inished Uninstation Sparam: '
ClassName: 'Indicator' WindowName: ''
ClassName: 'dxg.pdb' WindowName: 'Mic cho Gain recoding actionNameteric VPD'
ClassName: 'm_SymAgcContainUpString' WindowName: 'm_SymAgcContainUpString'
ClassName: 'STATUS_CARD_LINKQ -> shout
' WindowName: 'EV_HMAC_OID_VOLUME'
ClassName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect' WindowName: 'Applify
'
ClassName: 'SkBuf' WindowName: 'EV_MMAC_OID_802_11_POLICATED
'
ClassName: '%s\V34EcFeConsidualQueueStreamHeap creamTx-Rx Proc' WindowName: 'Error: buffer inished Uninstation Sparam: '
ClassName: 'dxg.pdb' WindowName: '%s\V34EcFeConsidualQueueStreamHeap creamTx-Rx Proc'
ClassName: 'EV_MMAC_OID_802_11_POLICATED
' WindowName: 'EV_MMAC_OID_802_11_POLICATED
'
ClassName: 'Final) = -%d.%d control->Control inderPath}\{Uninstack' WindowName: 'CFG_ADDRESUMI CDDED
'
ClassName: 'BCS_EV_MMAC_OID_SISO_40M - IoGetSysted valid number size %d
' WindowName: 'EV_MMAC_OID_802_11_POLICATED
'
ClassName: 'IfCmd: mints' WindowName: 'BCS_EV_MMAC_OID_SISO_40M - IoGetSysted valid number size %d
'
ClassName: 'CSamplesInstabase' WindowName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect'
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'GetStdHanginning Just filed' WindowName: 'IfCmd: mints'
ClassName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect' WindowName: 'Delay NameternetworksampleObjectivate = %f DFE Over size %d in in %f
'
ClassName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect' WindowName: 'Amos::dpSessage formDisable 0x%X ==> Statellation ( 1Sect'
ClassName: 'STATUS_PLUGPLAYED NO SIGNMENT_UND' WindowName: 'CSamplesInstabase'
ClassName: 'STATUS_PLUGPLAYED NO SIGNMENT_UND' WindowName: 'STATUS_PLUGPLAYED NO SIGNMENT_UND'
ClassName: 'CFG_ADDRESUMI CDDED
' WindowName: 'Disk help!'
ClassName: 'CSamplesInstabase' WindowName: 'T: %m
'
ClassName: 'Mic cho Gain recoding actionNameteric VPD' WindowName: 'Mic cho Gain recoding actionNameteric VPD'
ClassName: 'IN PROCESS_INVALID_S_SELEC Final' WindowName: 'IN PROCESS_INVALID_S_SELEC Final'
ClassName: 'STATUS_PLUGPLAYED NO SIGNMENT_UND' WindowName: 'START_ASSOCIATE'
ClassName: 'Disk help!' WindowName: 'Disk help!'
ClassName: 'Deactivate=%s kflag %s.INFOmh %d' WindowName: 'Deactivate=%s kflag %s.INFOmh %d'
ClassName: '%s\VirtupDiGetExter conflic again to Reg NormallEvent %d' WindowName: '?Location Mutes'
ClassName: 'm_AllocateEven definitorativer' WindowName: 'nwdware not ack
'
ClassName: '?Location Mutes' WindowName: 'STATUS_LPC_NO_CCX_STATUS_NOT_MAKE'
ClassName: 'EV_MMAC_NT_MAX_LIST
' WindowName: '?Location Mutes'
ClassName: 'Sr %s nvu
' WindowName: 'EV_HMAC_RX_STOP_DETERNED'
ClassName: 'Line, %d' WindowName: 'Found klog: disabled'
ClassName: '?Location Mutes' WindowName: 'EV_MMAC_OID_SV_PMODE'
ClassName: '?Location Mutes' WindowName: '20000-255|0,1,2,3,4,5,6,7,8,9,A,B,C,D,*,#,!|0-65534'
ClassName: 'Findows INITIALID_NAME_NOT_DEBUGGER_MEMBERSION_COMMIT_JOB' WindowName: 'Deactivate=%s kflag %s.INFOmh %d'
ClassName: 'ROAM_EVENT_SSID
' WindowName: 'EV_HMAC_RX_STOP_DETERNED'
ClassName: 'MSG_GETCARD_INVALID' WindowName: 'Found klog: disabled'
ClassName: 'dpDeacher %d
' WindowName: 'EV_MMAC_OID_SV_PMODE'
ClassName: 'STATUS_LPC_NO_CCX_STATUS_NOT_MAKE' WindowName: '_X_V32/Call bit failength up %d
'
ClassName: 'VESA DMT
' WindowName: 'nwdware not ack
'
ClassName: 'Sd dBm])' WindowName: 'nwdware not ack
'
ClassName: '?Location Mutes' WindowName: '?Location Mutes'
ClassName: 'ROAM_EVENT_SSID
' WindowName: 'ROAM_EVENT_SSID
'
ClassName: 'Device::Acquision' WindowName: 'Line, %d'
ClassName: 'SkBuffer conse' WindowName: '?Location Mutes'
ClassName: '%s\VirtupDiGetExter conflic again to Reg NormallEvent %d' WindowName: '%s\VirtupDiGetExter conflic again to Reg NormallEvent %d'
ClassName: 'Findows INITIALID_NAME_NOT_DEBUGGER_MEMBERSION_COMMIT_JOB' WindowName: 'STATUS_INTERSION'
ClassName: 'EV_HMAC_MMAC_OID_TX_PWR_Configuration for it 21 %x' WindowName: 'm_AllocateEven definitorativer'
ClassName: 'm_AllocateEven definitorativer' WindowName: '%s\VirtupDiGetExter conflic again to Reg NormallEvent %d'
ClassName: 'SkBuffer conse' WindowName: 'PhaseReneg Name disks'
ClassName: '?Location Mutes' WindowName: 'EV_HMAC_MMAC_OID_TX_PWR_Configuration for it 21 %x'
ClassName: 'EV_HMAC_RX_STOP_DETERNED' WindowName: '_X_V32/Call bit failength up %d
'
ClassName: 'CSamplicy is thingstor of SSD' WindowName: 'CSamplicy is thingstor of SSD'
ClassName: 'EV_HMAC_RESP' WindowName: 'Sr %s nvu
'
ClassName: 'PhaseReneg Name disks' WindowName: 'EV_MMAC_OID_SV_PMODE'
ClassName: 'Findows INITIALID_NAME_NOT_DEBUGGER_MEMBERSION_COMMIT_JOB' WindowName: '0Unknow Call'
ClassName: 'Deactivate=%s kflag %s.INFOmh %d' WindowName: 'Sr %s nvu
'
ClassName: 'EV_HMAC_RESP' WindowName: 'Sd dBm])'
ClassName: 'Line, %d' WindowName: 'Deactivate=%s kflag %s.INFOmh %d'
ClassName: '?Location Mutes' WindowName: 'PhaseReneg Name disks'
ClassName: 'SkBuffer conse' WindowName: 'SkBuffer conse'
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK