Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Adware.Gexin.17349

Добавлен в вирусную базу Dr.Web: 2019-08-20

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) c-h####.g####.com:80
  • TCP(HTTP/1.1) l####.tbs.qq.com:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) ti####.c####.l####.####.com:80
  • TCP(HTTP/1.1) sdk.o####.p####.####.com:80
  • TCP(TLS/1.0) api.map.b####.com:443
  • TCP(TLS/1.0) hd.a####.com:443
  • TCP(TLS/1.0) o####.map.b####.com:443
  • TCP(TLS/1.0) loc.map.b####.com:443
  • TCP(TLS/1.0) 51j####.com:443
  • TCP sdk.o####.t####.####.com:5224
  • TCP cm-1####.ig####.com:5226
Запросы DNS:
  • 51j####.com
  • 7j####.c####.z0.####.com
  • a####.u####.com
  • api.map.b####.com
  • c-h####.g####.com
  • cm-1####.ig####.com
  • l####.tbs.qq.com
  • loc.map.b####.com
  • o####.map.b####.com
  • sdk.c####.ig####.com
  • sdk.o####.p####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.net
  • st####.51j####.com
Запросы HTTP GET:
  • ti####.c####.l####.####.com/tdata_LRe817
  • ti####.c####.l####.####.com/tdata_OxN092
  • ti####.c####.l####.####.com/tdata_ZPR725
  • ti####.c####.l####.####.com/tdata_bca864
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • c-h####.g####.com/api.php?format=####&t=####
  • l####.tbs.qq.com/ajax?c=####&k=####
  • sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/MultiDex.lock
  • /data/data/####/access_control.control.mx
  • /data/data/####/access_control.write.mx
  • /data/data/####/authStatus_com.jinke.finance.xml
  • /data/data/####/authStatus_com.jinke.finance;remote.xml
  • /data/data/####/cc.db
  • /data/data/####/cc.db-journal
  • /data/data/####/core_info
  • /data/data/####/default.realm
  • /data/data/####/default.realm.lock
  • /data/data/####/download_upload
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/firll.dat
  • /data/data/####/gal.db
  • /data/data/####/gal.db-journal
  • /data/data/####/gdaemon_20161017
  • /data/data/####/geofencing.db
  • /data/data/####/geofencing.db-journal
  • /data/data/####/getui_sp.xml
  • /data/data/####/hst.db
  • /data/data/####/hst.db-journal
  • /data/data/####/init.pid
  • /data/data/####/init_c1.pid
  • /data/data/####/jinke.xml
  • /data/data/####/libcuid.so
  • /data/data/####/libjiagu635904408.so
  • /data/data/####/mipush_extra.xml
  • /data/data/####/mipush_region
  • /data/data/####/mipush_region.lock
  • /data/data/####/multidex.version.xml
  • /data/data/####/ofl.config
  • /data/data/####/ofl_location.db
  • /data/data/####/ofl_location.db-journal
  • /data/data/####/ofl_statistics.db
  • /data/data/####/ofl_statistics.db-journal
  • /data/data/####/push.pid
  • /data/data/####/pushext.db-journal
  • /data/data/####/pushg.db-journal
  • /data/data/####/pushk.db-journal
  • /data/data/####/pushsdk.db-journal
  • /data/data/####/run.pid
  • /data/data/####/tbs_download_config.xml
  • /data/data/####/tbs_download_stat.xml
  • /data/data/####/tbs_pv_config
  • /data/data/####/tbscoreinstall.txt
  • /data/data/####/tbslock.txt
  • /data/data/####/tdata_LRe817
  • /data/data/####/tdata_LRe817.jar
  • /data/data/####/tdata_OxN092
  • /data/data/####/tdata_OxN092.jar
  • /data/data/####/tdata_ZPR725
  • /data/data/####/tdata_ZPR725.jar
  • /data/data/####/tdata_bca864
  • /data/data/####/tdata_bca864.jar
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/media/####/.cuid
  • /data/media/####/.cuid2
  • /data/media/####/.nomedia
  • /data/media/####/02d8adc4da6502b5017e0eaed42f9e1d6db8d6d3802da7....0.tmp
  • /data/media/####/16add887973dedba1a481f12f35d11aa4522fe6136645e....0.tmp
  • /data/media/####/18ff0bcb46bf6e681e46242711c65f65275ec8bbf54b44....0.tmp
  • /data/media/####/25b3f1c5f2bb7a8c6dd7381e0411c09c107cd7254d347c....0.tmp
  • /data/media/####/268be230b9bbe32fcc800332072c9de805527c6f68adb6....0.tmp
  • /data/media/####/28136119e6938dfd1784837459ef304f7315cbd44e24fa....0.tmp
  • /data/media/####/28cd52fffd149255183d565148590292.0.tmp
  • /data/media/####/28cd52fffd149255183d565148590292.1.tmp
  • /data/media/####/2f4cdd9aeaeff704804a92bc367a0015.0.tmp
  • /data/media/####/2f4cdd9aeaeff704804a92bc367a0015.1.tmp
  • /data/media/####/302b1c320c2d15c5a8fc078aba7252a15487bc8545d723....0.tmp
  • /data/media/####/36276d5c4b12b00390c8328c26a0fcad.0.tmp
  • /data/media/####/36276d5c4b12b00390c8328c26a0fcad.1.tmp
  • /data/media/####/456908b2a361dd8d81e9371f9f7a280a6f7cbd247ee0de....0.tmp
  • /data/media/####/47682b3702bac829570f9558f9731c3752919327364b39....0.tmp
  • /data/media/####/4a558e3b630378969343430cb1fb3732d7943218ccdf12....0.tmp
  • /data/media/####/4e2812778f0dd37b183d14347e2f728e.0.tmp
  • /data/media/####/4e2812778f0dd37b183d14347e2f728e.1.tmp
  • /data/media/####/52a5a47e644fb7085f9ae88599c237f579e065ce47706d....0.tmp
  • /data/media/####/54aeefbe62d0d8ab9d26a37d9bfd5153992fdf589d6d22....0.tmp
  • /data/media/####/5916ea3c27ee4a400e5f08e178caadde8de434d3896ac0....0.tmp
  • /data/media/####/5a21381d5a5383a4f4b6725ca3b8c1b7a77cb5a4e990d0....0.tmp
  • /data/media/####/6463dc4d99278e5882c281ad82c8e557ecdce5a2c4ec43....0.tmp
  • /data/media/####/701a547c2620631ed48937e3782b11edf1e505ada6d96f....0.tmp
  • /data/media/####/731fac1238735ee251eff778f0017bd1dcc505f80ef432....0.tmp
  • /data/media/####/792bba4747d3e2c7f4b437328c96ecd9.0.tmp
  • /data/media/####/792bba4747d3e2c7f4b437328c96ecd9.1.tmp
  • /data/media/####/7e13e8d223187434c6f5fc8f366f2ea369da9d45735038....0.tmp
  • /data/media/####/8571523c30b91d65636ab0ae11ab2c9fe753f852149f42....0.tmp
  • /data/media/####/89c72ebdac604185456e64659c04b0fac92ec85f1145fe....0.tmp
  • /data/media/####/8bd97836cb774e3278fd89e53f54420163f4d6d86e7a8f....0.tmp
  • /data/media/####/912c89efaa691c5a00e790ef4a393e8b.0.tmp
  • /data/media/####/912c89efaa691c5a00e790ef4a393e8b.1.tmp
  • /data/media/####/91a73eedcaa7afb233e2800520d45ee634ff6c25bfcaaa....0.tmp
  • /data/media/####/9505c1f260f5369d51c10b8a251167c14282bf4658d4eb....0.tmp
  • /data/media/####/9596d8a47e1a1dd8d3f3ef7a485078ce2f819a5d60c458....0.tmp
  • /data/media/####/9d964e8d0c744d6d9bd7f723d5bee090.0.tmp
  • /data/media/####/9d964e8d0c744d6d9bd7f723d5bee090.1.tmp
  • /data/media/####/9dbc09e30303a701649eb4199ee29bd46c00f9a1dd2610....0.tmp
  • /data/media/####/a0dd7f60583ae0501f8f9f03b7446b57.0.tmp
  • /data/media/####/a0dd7f60583ae0501f8f9f03b7446b57.1.tmp
  • /data/media/####/a1d929d1ca2db8a40d4ee0020eda9fb9.0.tmp
  • /data/media/####/a1d929d1ca2db8a40d4ee0020eda9fb9.1.tmp
  • /data/media/####/a4efc44e67b73e1819c93934c20c063d393abcdfd3bf66....0.tmp
  • /data/media/####/a889645b658bff17eafa009ebeae02b9157f0ebe3ac834....0.tmp
  • /data/media/####/aa4e62a89461d8aac8dd11400a66c47c2d5fa00b04ee49....0.tmp
  • /data/media/####/abaefa18cfefdc452ad3e87f30243f31f667e51271adb4....0.tmp
  • /data/media/####/ac4ea64f9be8bf61ef392485e5831639.0.tmp
  • /data/media/####/ac4ea64f9be8bf61ef392485e5831639.1.tmp
  • /data/media/####/afe093f23f61501a14c3e22b18bf8eb19d4a42cb764020....0.tmp
  • /data/media/####/aff44fe7e547068678507c9762e91e87d32ac821d74bf0....0.tmp
  • /data/media/####/app.db
  • /data/media/####/b8f10a43610bdd04e6128b6556847d60492b02f406fe84....0.tmp
  • /data/media/####/banner.dat
  • /data/media/####/c3f689d9c86750034aa0c1093d1ce5691d6267e3f13c65....0.tmp
  • /data/media/####/c41a664393b33bbad9ea48f36dec0872b62c243f07c57e....0.tmp
  • /data/media/####/ca80611fe589ddf993872c3a6bca1436451017006c4b11....0.tmp
  • /data/media/####/cc5456614dd28f4bb9665be9c8f1bb9dfeafe339d3d815....0.tmp
  • /data/media/####/com.getui.sdk.deviceId.db
  • /data/media/####/com.igexin.sdk.deviceId.db
  • /data/media/####/com.jinke.finance.bin
  • /data/media/####/com.jinke.finance.db
  • /data/media/####/commonUse.dat
  • /data/media/####/conlts.dat
  • /data/media/####/dca160ae7127de7c4409f072f87465ffd7c46cd1c32471....0.tmp
  • /data/media/####/e1d84bc9ebe63a167b72ef60943e8b1926e76241f62453....0.tmp
  • /data/media/####/e7ea471f632058efd3918e71c1e1d83c.0.tmp
  • /data/media/####/e7ea471f632058efd3918e71c1e1d83c.1.tmp
  • /data/media/####/eda49614e38ef8ae9797b89a22b9ac7d67f951a6bc9a99....0.tmp
  • /data/media/####/ef9118a7e76dca8830e63f942e673b5c7410cc645375a0....0.tmp
  • /data/media/####/f5f0695cab81df6fd306a13b9bedcdf1f6a6f8ec8aeea3....0.tmp
  • /data/media/####/fc966192bb1d8ac5ba0bf6e15b22ee5d.0.tmp
  • /data/media/####/fc966192bb1d8ac5ba0bf6e15b22ee5d.1.tmp
  • /data/media/####/ff94bc3f93af7b3a7b91d472faa602f02513b5603a808c....0.tmp
  • /data/media/####/home_cate_data
  • /data/media/####/home_red_msg.dat
  • /data/media/####/icons.dat
  • /data/media/####/journal.tmp
  • /data/media/####/ls.db
  • /data/media/####/ls.db-journal
  • /data/media/####/tdata_LRe817
  • /data/media/####/tdata_OxN092
  • /data/media/####/tdata_ZPR725
  • /data/media/####/tdata_bca864
  • /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
  • <Package Folder>/files/gdaemon_20161017 0 <Package>/com.ernest.push.target.getui.GPushService 24664 300 0
  • chmod 700 <Package Folder>/files/gdaemon_20161017
  • getprop ro.product.cpu.abi
  • sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.ernest.push.target.getui.GPushService 24664 300 0
Загружает динамические библиотеки:
  • BaiduMapSDK_base_v4_5_2
  • X86Bridge
  • getuiext3
  • libjiagu635904408
  • locSDK7a
  • realm-jni
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • RSA-ECB-NoPadding
  • RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке