Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner2.56830
Добавлен в вирусную базу Dr.Web:
2019-08-12
Описание добавлено:
2019-08-14
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rfwsrv.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMoD.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.EXE] 'Debugger' = 'D:\RECYCLER\????8.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
Создает или изменяет следующие файлы
%WINDIR%\tasks\at1.job
%WINDIR%\tasks\at2.job
%WINDIR%\tasks\at3.job
%WINDIR%\tasks\at4.job
%WINDIR%\tasks\at5.job
%WINDIR%\tasks\at6.job
Создает следующие файлы на съемном носителе
<Имя диска съемного носителя>:\recyclep\pagefile.exe
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
скрытых файлов
расширений файлов
блокирует запуск следующих системных утилит:
Центр обеспечения безопасности (Security Center)
изменяет следующие системные настройки:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'DisallowRun' = '00000001'
Запускает на исполнение
'<SYSTEM32>\at.exe' 9:23:08 PM %WINDIR%\Help\HelpCat.exe
'<SYSTEM32>\net.exe' stop wscsvc /y
'<SYSTEM32>\net.exe' stop wuauserv /y
'<SYSTEM32>\net.exe' stop sharedaccess /y
'<SYSTEM32>\at.exe' 9:22:10 PM %WINDIR%\Sysinf.bat
'<SYSTEM32>\net.exe' stop srservice /y
'<SYSTEM32>\at.exe' 9:25:10 PM %WINDIR%\Sysinf.bat
'<SYSTEM32>\net.exe' stop 360timeprot /y
'<SYSTEM32>\at.exe' 9:23:18 PM %WINDIR%\Help\HelpCat.exe
'<SYSTEM32>\at.exe' 9:25:20 PM %WINDIR%\Sysinf.bat
'<SYSTEM32>\at.exe' 9:22:20 PM %WINDIR%\Sysinf.bat
Изменения в файловой системе
Создает следующие файлы
C:\users\clouds~1\appdata\local\temp\lixbkh.exe
<SYSTEM32>\option.bat
C:\ntldr~6
C:\ntldr~8
%WINDIR%\system\kavupda.exe
%WINDIR%\help\helpcat.exe
%WINDIR%\sysinf.bat
%WINDIR%\regedt32.sys
C:\users\clouds~1\appdata\local\temp\lixbkh~4.exe
D:\recyclep\pagefile.exe
D:\autorun.inf
C:\recyclep\pagefile.exe
C:\autorun.inf
Присваивает атрибут 'скрытый' для следующих файлов
<Имя диска съемного носителя>:\recyclep\pagefile.exe
<Имя диска съемного носителя>:\autorun.inf
C:\users\clouds~1\appdata\local\temp\lixbkh~4.exe
D:\recyclep\pagefile.exe
D:\autorun.inf
C:\recyclep\pagefile.exe
C:\autorun.inf
Удаляет следующие файлы
%WINDIR%\regedt32.sys
<Имя диска съемного носителя>:\autorun.inf
D:\autorun.inf
C:\autorun.inf
Подменяет следующие файлы
%WINDIR%\regedt32.sys
<Имя диска съемного носителя>:\autorun.inf
D:\autorun.inf
C:\autorun.inf
Другое
Ищет следующие окна
ClassName: 'EDIT' WindowName: ''
ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
'C:\users\clouds~1\appdata\local\temp\lixbkh.exe'
'C:\users\clouds~1\appdata\local\temp\lixbkh~4.exe'
'%WINDIR%\system\kavupda.exe'
'<SYSTEM32>\cmd.exe' /c rmdir D:\Autorun.inf /s /q' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c attrib -s -h -r D:\Autorun.inf\*.* /s /d' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c rmdir <Имя диска съемного носителя>:\Autorun.inf /s /q' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c attrib -s -h -r <Имя диска съемного носителя>:\Autorun.inf\*.* /s /d' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c at 9:25:20 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
'<SYSTEM32>\at.exe' 9:23:18 PM %WINDIR%\Help\HelpCat.exe' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c at 9:22:20 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
'%WINDIR%\system\kavupda.exe' ' (со скрытым окном)
'<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f' (со скрытым окном)
'<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c rmdir C:\Autorun.inf /s /q' (со скрытым окном)
'%WINDIR%\regedit.exe' /s %WINDIR%\regedt32.sys' (со скрытым окном)
'<SYSTEM32>\sc.exe' config wscsvc start= disabled' (со скрытым окном)
'<SYSTEM32>\sc.exe' config srservice start= disabled' (со скрытым окном)
'<SYSTEM32>\net.exe' stop 360timeprot /y' (со скрытым окном)
'<SYSTEM32>\net.exe' stop srservice /y' (со скрытым окном)
'<SYSTEM32>\net.exe' stop sharedaccess /y' (со скрытым окном)
'<SYSTEM32>\net.exe' stop wuauserv /y' (со скрытым окном)
'<SYSTEM32>\net.exe' stop wscsvc /y' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c at 9:25:10 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c at 9:22:10 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
'<SYSTEM32>\at.exe' 9:23:08 PM %WINDIR%\Help\HelpCat.exe' (со скрытым окном)
'<SYSTEM32>\net.exe' start schedule /y' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c <SYSTEM32>\Option.bat' (со скрытым окном)
'<SYSTEM32>\sc.exe' config SharedAccess start= disabled' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c attrib -s -h -r C:\Autorun.inf\*.* /s /d' (со скрытым окном)
Запускает на исполнение
'<SYSTEM32>\cmd.exe' /c <SYSTEM32>\Option.bat
'<SYSTEM32>\cmd.exe' /c rmdir C:\Autorun.inf /s /q
'<SYSTEM32>\attrib.exe' -s -h -r D:\Autorun.inf\*.* /s /d
'<SYSTEM32>\cmd.exe' /c rmdir D:\Autorun.inf /s /q
'<SYSTEM32>\cmd.exe' /c attrib -s -h -r D:\Autorun.inf\*.* /s /d
'<SYSTEM32>\attrib.exe' -s -h -r <Имя диска съемного носителя>:\Autorun.inf\*.* /s /d
'<SYSTEM32>\cmd.exe' /c rmdir <Имя диска съемного носителя>:\Autorun.inf /s /q
'<SYSTEM32>\cmd.exe' /c attrib -s -h -r <Имя диска съемного носителя>:\Autorun.inf\*.* /s /d
'<SYSTEM32>\cmd.exe' /c at 9:25:20 PM %WINDIR%\Sysinf.bat
'<SYSTEM32>\cmd.exe' /c at 9:22:20 PM %WINDIR%\Sysinf.bat
'<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f
'<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f
'<SYSTEM32>\cmd.exe' /c attrib -s -h -r C:\Autorun.inf\*.* /s /d
'%WINDIR%\regedit.exe' /s %WINDIR%\regedt32.sys
'<SYSTEM32>\sc.exe' config SharedAccess start= disabled
'<SYSTEM32>\net1.exe' stop srservice /y
'<SYSTEM32>\sc.exe' config wscsvc start= disabled
'<SYSTEM32>\net1.exe' stop wuauserv /y
'<SYSTEM32>\net1.exe' stop sharedaccess /y
'<SYSTEM32>\sc.exe' config srservice start= disabled
'<SYSTEM32>\net1.exe' stop wscsvc /y
'<SYSTEM32>\cmd.exe' /c at 9:25:10 PM %WINDIR%\Sysinf.bat
'<SYSTEM32>\cmd.exe' /c at 9:22:10 PM %WINDIR%\Sysinf.bat
'<SYSTEM32>\net1.exe' start schedule /y
'<SYSTEM32>\net.exe' start schedule /y
'<SYSTEM32>\net1.exe' stop 360timeprot /y
'<SYSTEM32>\attrib.exe' -s -h -r C:\Autorun.inf\*.* /s /d
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK