Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.KeyLogger.42245

Добавлен в вирусную базу Dr.Web: 2020-03-02

Описание добавлено:

Техническая информация

Вредоносные функции
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
  • Библиотека-обработчик для всех процессов: <Текущая директория>\cfgdll.dll
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\8b69.tmp
  • %APPDATA%\qmacro\ocx\2bed3270-f72c-40bc-8cb6-9e3b1e88fedd\setupocxfile
  • %TEMP%\0919394.tmp
  • %APPDATA%\qmacro\ocx\09118d6f-df59-46ab-9122-35aad76c8243\setupocxfile
  • %TEMP%\1ee9422.tmp
  • %APPDATA%\qmacro\ocx\1eecca4f-53ea-49a3-b256-3d61816fac54\setupocxfile
  • %TEMP%\59294b0.tmp
  • %APPDATA%\qmacro\ocx\5920c5fc-b744-4004-94c3-d6fce0009a98\setupocxfile
  • %TEMP%\c00954d.tmp
  • %APPDATA%\qmacro\ocx\c009f31b-b044-413e-9414-0507c27957df\setupocxfile
  • %TEMP%\24195da.tmp
  • %TEMP%\2419687.tmp
  • <Текущая директория>\uservar.ini
  • %APPDATA%\qmacro\ocx\24130505-b60c-43e2-b591-48a281a43367\setupocxfile
  • %TEMP%\59a9725.tmp
  • %APPDATA%\qmacro\ocx\59a5c0ef-acf1-499a-bd8a-69f17e81a9c5\setupocxfile
  • %TEMP%\28a97c2.tmp
  • %APPDATA%\qmacro\ocx\28a0bc64-a2d4-407a-9856-eedcc1b77bee\setupocxfile
  • %TEMP%\fde987e.tmp
  • %APPDATA%\qmacro\ocx\fde694c6-9fa3-440a-a35e-9fd0d74232e3\setupocxfile
  • %TEMP%\016991c.tmp
  • %APPDATA%\qmacro\ocx\0164e5c4-7b27-4993-bd3b-90c3f0325942\setupocxfile
  • <PATH_SAMPLE>.ini
  • %TEMP%\2be92e7.tmp
  • %APPDATA%\qmacro\ocx\2413b6f8-5e5d-4823-8fdb-8673d7081067\setupocxfile
  • %APPDATA%\mymacro\qdisp.dll
  • %TEMP%\8f2d.tmp
  • %TEMP%\8b6a.tmp
  • %TEMP%\8bb9.tmp
  • %TEMP%\8c08.tmp
  • %TEMP%\8c58.tmp
  • %TEMP%\8ca7.tmp
  • %TEMP%\8d15.tmp
  • %TEMP%\8d74.tmp
  • %TEMP%\8dd3.tmp
  • %TEMP%\8e41.tmp
  • %TEMP%\8eaf.tmp
  • %TEMP%\plugin.zip
  • <Текущая директория>\cfgdll.dll
  • <Текущая директория>\plugin\msg.dll
  • <Текущая директория>\plugin\window.dll
  • <Текущая директория>\plugin\zydd.dll
  • <Текущая директория>\plugin\sydt.dll
  • <Текущая директория>\plugin\regdll.dll
  • <Текущая директория>\plugin\file.dll
  • <Текущая директория>\plugin\media.dll
  • <Текущая директория>\plugin\sys.dll
  • %TEMP%\mymacro.zip
  • %TEMP%\background.bmp
  • <Текущая директория>\shieldmodule.dat
  • %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012020030120200302\index.dat
Удаляет следующие файлы
  • %TEMP%\plugin.zip
  • %TEMP%\mymacro.zip
Перемещает следующие файлы
  • %APPDATA%\qmacro\ocx\2bed3270-f72c-40bc-8cb6-9e3b1e88fedd\setupocxfile в %APPDATA%\qmacro\ocx\2bed3270-f72c-40bc-8cb6-9e3b1e88fedd\shuaguai.ocx
  • %APPDATA%\qmacro\ocx\09118d6f-df59-46ab-9122-35aad76c8243\setupocxfile в %APPDATA%\qmacro\ocx\09118d6f-df59-46ab-9122-35aad76c8243\shuaguai.ocx
  • %APPDATA%\qmacro\ocx\1eecca4f-53ea-49a3-b256-3d61816fac54\setupocxfile в %APPDATA%\qmacro\ocx\1eecca4f-53ea-49a3-b256-3d61816fac54\caiji.ocx
  • %APPDATA%\qmacro\ocx\5920c5fc-b744-4004-94c3-d6fce0009a98\setupocxfile в %APPDATA%\qmacro\ocx\5920c5fc-b744-4004-94c3-d6fce0009a98\caiji.ocx
  • %APPDATA%\qmacro\ocx\c009f31b-b044-413e-9414-0507c27957df\setupocxfile в %APPDATA%\qmacro\ocx\c009f31b-b044-413e-9414-0507c27957df\zhongzhi.ocx
  • %APPDATA%\qmacro\ocx\2413b6f8-5e5d-4823-8fdb-8673d7081067\setupocxfile в %APPDATA%\qmacro\ocx\2413b6f8-5e5d-4823-8fdb-8673d7081067\zhongzhi.ocx
  • %APPDATA%\qmacro\ocx\24130505-b60c-43e2-b591-48a281a43367\setupocxfile в %APPDATA%\qmacro\ocx\24130505-b60c-43e2-b591-48a281a43367\paoshang.ocx
  • %APPDATA%\qmacro\ocx\59a5c0ef-acf1-499a-bd8a-69f17e81a9c5\setupocxfile в %APPDATA%\qmacro\ocx\59a5c0ef-acf1-499a-bd8a-69f17e81a9c5\paoshang.ocx
  • %APPDATA%\qmacro\ocx\28a0bc64-a2d4-407a-9856-eedcc1b77bee\setupocxfile в %APPDATA%\qmacro\ocx\28a0bc64-a2d4-407a-9856-eedcc1b77bee\datu.ocx
  • %APPDATA%\qmacro\ocx\fde694c6-9fa3-440a-a35e-9fd0d74232e3\setupocxfile в %APPDATA%\qmacro\ocx\fde694c6-9fa3-440a-a35e-9fd0d74232e3\datu.ocx
  • %APPDATA%\qmacro\ocx\0164e5c4-7b27-4993-bd3b-90c3f0325942\setupocxfile в %APPDATA%\qmacro\ocx\0164e5c4-7b27-4993-bd3b-90c3f0325942\xiaogongju.ocx
  • %TEMP%\background.bmp в %TEMP%\b80background.bmp
Сетевая активность
TCP
Запросы HTTP GET
  • http://c.###huoa.com/banner/Q04967.htm
UDP
  • DNS ASK c.###huoa.com
Другое
Ищет следующие окна
  • ClassName: 'MS_AutodialMonitor' WindowName: ''
  • ClassName: 'MS_WebCheckMonitor' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Более 71% дохода компании — продажи бизнес-клиентам

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2020

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А