Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.FakeAV.20403
Добавлен в вирусную базу Dr.Web:
2019-10-05
Описание добавлено:
2019-10-07
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKLM>\SYSTEM\CurrentControlSet\Control\Session Manager] 'BootExecute' = ''
[<HKLM>\Software\Classes\Applications\Bred3.exe\shell\open\command] '' = '"%ProgramFiles%\Bred3\Bred3.exe" %1'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe] 'Debugger' = '"%ProgramFiles%\Notepad2\Notepad2.exe" /z'
[<HKLM>\Software\Classes\Applications\Notepad2.exe\shell\open\command] '' = '"%ProgramFiles%\Notepad2\Notepad2.exe" %1'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
скрытых файлов
расширений файлов
блокирует:
Центр поддержки Windows (Action Center)
Завершает или пытается завершить
следующие системные процессы:
Изменяет следующие настройки браузера Windows Internet Explorer
[<HKCU>\Software\Microsoft\Internet Explorer\Download] 'CheckExeSignatures' = 'no'
[<HKCU>\Software\Microsoft\Internet Explorer\Download] 'RunInvalidSignatures' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments] 'SaveZoneInformation' = '00000002'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Associations] 'LowRiskFileTypes' = '.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;....
Изменения в файловой системе
Создает следующие файлы
Присваивает атрибут 'скрытый' для следующих файлов
%TEMP%\addshowhide\killduplicate.cmd
%TEMP%\bred3\killduplicate.cmd
%TEMP%\notepad2\killduplicate.cmd
%TEMP%\notepad2_x64\killduplicate.cmd
%TEMP%\vanadiy\killduplicate.cmd
%TEMP%\personalizationpanel\killduplicate.cmd
%TEMP%\preactivator\killduplicate.cmd
Удаляет следующие файлы
%TEMP%\c5c7.tmp\tweak.reg
%TEMP%\personalizationpanel\slc_x64\windows\system32\slc.dll
%TEMP%\personalizationpanel\slc_x64\windows\syswow64\en-us\sl2.dll.mui
%TEMP%\personalizationpanel\slc_x64\windows\syswow64\ru-ru\sl2.dll.mui
%TEMP%\personalizationpanel\slc_x64\windows\syswow64\sl2.dll
%TEMP%\personalizationpanel\slc_x64\windows\syswow64\slc.dll
%TEMP%\personalizationpanel\slc_x86\windows\system32\en-us\sl2.dll.mui
%TEMP%\personalizationpanel\slc_x86\windows\system32\ru-ru\sl2.dll.mui
%TEMP%\personalizationpanel\slc_x86\windows\system32\ru-ru\udwm.dll.mui
%TEMP%\personalizationpanel\slc_x86\windows\system32\sl2.dll
%TEMP%\personalizationpanel\slc_x86\windows\system32\slc.dll
%TEMP%\personalizationpanel\slc_x86\windows\system32\udwm.dll
%TEMP%\personalizationpanel\ver.ini
%TEMP%\c3a5.tmp\addshow.exe
%TEMP%\personalizationpanel\w7patcher_x64.exe
%TEMP%\personalizationpanel\w7patcher_x86.exe
%TEMP%\preactivator\killduplicate.cmd
%TEMP%\preactivator\preactivator.cmd
%TEMP%\preactivator\wloader.exe
%TEMP%\c3a5.tmp\bred3.exe
%TEMP%\c3a5.tmp\notepad2.exe
%TEMP%\c3a5.tmp\personalizationpanel.exe
%TEMP%\c3a5.tmp\preactivator.exe
%TEMP%\c3a5.tmp\settings.exe
%TEMP%\c3a5.tmp\vanadiyassistant.exe
%TEMP%\personalizationpanel\slc_x64\windows\system32\sl2.dll
%TEMP%\personalizationpanel\uninststring.reg
%TEMP%\personalizationpanel\slc_x64\windows\system32\ru-ru\sl2.dll.mui
%TEMP%\notepad2_x64\notepad2.inf
%TEMP%\c5c7.tmp\c5c8.tmp\c5c9.bat
%TEMP%\addshowhide\addshowhide.cmd
%TEMP%\addshowhide\addshowhide.reg
%TEMP%\addshowhide\killduplicate.cmd
%TEMP%\addshowhide\showhidesysextonoff.vbs
%TEMP%\bred3\bred3_x64.exe
%TEMP%\bred3\bred3_x86.exe
%TEMP%\bred3\killduplicate.cmd
%TEMP%\notepad2_x64\killduplicate.cmd
%TEMP%\notepad2_x64\license.txt
%TEMP%\notepad2_x64\notepad2.exe
%TEMP%\notepad2_x64\notepad2.ini
%TEMP%\personalizationpanel\postuninst.cmd
%TEMP%\notepad2_x64\notepad2.txt
%TEMP%\notepad2\killduplicate.cmd
%TEMP%\notepad2\notepad2_x64.exe
%TEMP%\notepad2\notepad2_x86.exe
%TEMP%\vanadiy\killduplicate.cmd
%TEMP%\vanadiy\vanadiy assistant_x64.exe
%TEMP%\vanadiy\vanadiy assistant_x86.exe
%TEMP%\personalizationpanel\killduplicate.cmd
%TEMP%\personalizationpanel\packico.ico
%TEMP%\personalizationpanel\personalization.inf
%TEMP%\personalizationpanel\personalizationpanel.cmd
%TEMP%\personalizationpanel\slc_x64\windows\system32\en-us\sl2.dll.mui
%TEMP%\c3a5.tmp\final settings.cmd
Перемещает следующие файлы
%ProgramFiles%\notepad2\sete371.tmp в %ProgramFiles%\notepad2\license.txt
%ProgramFiles%\notepad2\sete382.tmp в %ProgramFiles%\notepad2\notepad2.exe
%ProgramFiles%\notepad2\sete3b2.tmp в %ProgramFiles%\notepad2\notepad2.inf
%ProgramFiles%\notepad2\sete3c2.tmp в %ProgramFiles%\notepad2\notepad2.txt
%APPDATA%\sete3d3.tmp в %APPDATA%\notepad2.ini
Другое
Ищет следующие окна
ClassName: 'RegEdit_RegEdit' WindowName: ''
ClassName: 'STATIC' WindowName: 'q3TDgcZ4p2up0Z77amQP 00000920'
Создает и запускает на исполнение
'%TEMP%\c3a5.tmp\settings.exe'
'%TEMP%\c3a5.tmp\personalizationpanel.exe'
'%TEMP%\c3a5.tmp\vanadiyassistant.exe'
'%ProgramFiles%\vanadiy assistant\runer.exe'
'%TEMP%\notepad2\notepad2_x64.exe'
'%TEMP%\c3a5.tmp\preactivator.exe'
'%TEMP%\preactivator\wloader.exe' /silent /preactivate
'%TEMP%\vanadiy\vanadiy assistant_x64.exe'
'%TEMP%\bred3\bred3_x64.exe'
'%TEMP%\c3a5.tmp\bred3.exe'
'%TEMP%\c3a5.tmp\addshow.exe'
'%TEMP%\c3a5.tmp\notepad2.exe'
'<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSectionEx %TEMP%\Notepad2_x64\Notepad2.inf,DefaultInstall,,4,N' (со скрытым окном)
'%WINDIR%\regedit.exe' /s "Vanadiy Assistant_x64.reg"' (со скрытым окном)
'%ProgramFiles%\vanadiy assistant\runer.exe' ' (со скрытым окном)
'%TEMP%\vanadiy\vanadiy assistant_x64.exe' ' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PreActivator\PreActivator.cmd" "' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PersonalizationPanel\PersonalizationPanel.cmd" "' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PersonalizationPanel\KillDuplicate.cmd" "%TEMP%\PersonalizationPanel" "PersonalizationPanel.exe""' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PreActivator\KillDuplicate.cmd" "%TEMP%\PreActivator" "PreActivator.exe""' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\AddShowHide\AddShowHide.cmd" "' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Notepad2\KillDuplicate.cmd" "%TEMP%\Notepad2" "Notepad2.exe""' (со скрытым окном)
'%WINDIR%\regedit.exe' /s "Bred3_x64.reg"' (со скрытым окном)
'%TEMP%\bred3\bred3_x64.exe' ' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Bred3\KillDuplicate.cmd" "%TEMP%\Bred3" "Bred3.exe""' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Vanadiy\KillDuplicate.cmd" "%TEMP%\Vanadiy" "VanadiyAssistant.exe""' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\AddShowHide\KillDuplicate.cmd" "%TEMP%\AddShowHide" "AddShow.exe""' (со скрытым окном)
'%TEMP%\notepad2\notepad2_x64.exe' ' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Notepad2_x64\KillDuplicate.cmd" "%TEMP%\Notepad2_x64" "Notepad2_x64.exe""' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /A /C "compact /u \\?\Volume{c84d25cc-f368-11e4-889d-806e6f6e6963}\XELDZ"' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\C3A5.tmp\Final Settings.cmd" <Текущая директория>\"
'%WINDIR%\syswow64\cmd.exe' /A /C "compact /u \\?\Volume{c84d25cc-f368-11e4-889d-806e6f6e6963}\XELDZ"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PreActivator\PreActivator.cmd" "
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PreActivator\KillDuplicate.cmd" "%TEMP%\PreActivator" "PreActivator.exe""
'<SYSTEM32>\ping.exe' -n 5 127.0.0.1
'<SYSTEM32>\mode.com' CON COLS=43 LINES=6
'<SYSTEM32>\reg.exe' query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v EditionID
'<SYSTEM32>\cmd.exe' /c reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v EditionID
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PersonalizationPanel\PersonalizationPanel.cmd" "
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\PersonalizationPanel\KillDuplicate.cmd" "%TEMP%\PersonalizationPanel" "PersonalizationPanel.exe""
'%WINDIR%\regedit.exe' /s "Vanadiy Assistant_x64.reg"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Vanadiy\KillDuplicate.cmd" "%TEMP%\Vanadiy" "VanadiyAssistant.exe""
'<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSectionEx %TEMP%\Notepad2_x64\Notepad2.inf,DefaultInstall,,4,N
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Notepad2_x64\KillDuplicate.cmd" "%TEMP%\Notepad2_x64" "Notepad2_x64.exe""
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Notepad2\KillDuplicate.cmd" "%TEMP%\Notepad2" "Notepad2.exe""
'%WINDIR%\regedit.exe' /s "Bred3_x64.reg"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\Bred3\KillDuplicate.cmd" "%TEMP%\Bred3" "Bred3.exe""
'<SYSTEM32>\xcopy.exe' /h /y ShowHideSysExtOnOff.vbs "%WINDIR%"
'%WINDIR%\regedit.exe' /s AddShowHide.reg
'<SYSTEM32>\mode.com' con cols=30 lines=4
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\AddShowHide\AddShowHide.cmd" "
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\AddShowHide\KillDuplicate.cmd" "%TEMP%\AddShowHide" "AddShow.exe""
'%WINDIR%\regedit.exe' /s tweak.reg
'<SYSTEM32>\mode.com' con cols=40 lines=2
'<SYSTEM32>\cmd.exe' /c "%TEMP%\C5C7.tmp\C5C8.tmp\C5C9.bat %TEMP%\C3A5.tmp\Settings.exe"
'%WINDIR%\syswow64\mode.com' con cols=40 lines=3
'%WINDIR%\syswow64\compact.exe' /u \\?\Volume{c84d25cc-f368-11e4-889d-806e6f6e6963}\XELDZ
'%WINDIR%\syswow64\shutdown.exe' /r /f /t 05 /c "ä½∩ ВєГЎГіГ‘αΦÑ¡¿∩ πГџΓá¡«ó¬¿ ¬«¼»∞εΓГ‘α ГπГ±Г‘Γ В»Г‘αѺáúαπªÑ¡!"
Пытается завершить работу операционной системы Windows.
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK