Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.KillProc.62498

Добавлен в вирусную базу Dr.Web: 2019-04-19

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '%WINDIR%\Explorer.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
  • Диспетчера задач (Taskmgr)
  • Редактора реестра (RegEdit)
Завершает или пытается завершить
следующие системные процессы:
  • %WINDIR%\explorer.exe
  • <SYSTEM32>\winlogon.exe
  • <SYSTEM32>\dwm.exe
  • <SYSTEM32>\taskhost.exe
  • <SYSTEM32>\csrss.exe
следующие пользовательские процессы:
  • iexplore.exe
  • firefox.exe
Изменения в файловой системе
Создает следующие файлы
  • C:\boot.ini
  • C:\37321147105633426.txt
  • C:\15340482285015126.txt
  • C:\165596405230227298.txt
  • C:\4838646855071188.txt
  • C:\257534220195644044.txt
  • C:\3788112686794627.txt
  • C:\90128521222403923.txt
  • C:\250405317146556768.txt
  • C:\253554551102382198.txt
  • C:\12151529164178366.txt
  • C:\257139163136789859.txt
  • C:\223778217200400203.txt
  • C:\182543006255164840.txt
  • C:\23872802938780313.txt
  • C:\169286125174626684.txt
  • C:\277966175194844243.txt
  • C:\1833781530998090.txt
  • C:\27988444727788562.txt
  • C:\298938620259971153.txt
  • C:\286612879208453051.txt
  • C:\282737362256940852.txt
  • C:\30615035125000861.txt
  • C:\9483929224199589.txt
  • C:\3163285539956630.txt
  • C:\40330475128408131.txt
  • C:\300748957303955700.txt
  • C:\169136354142030031.txt
  • C:\6656887418988653.txt
  • C:\205123664208600146.txt
  • C:\98840925171469297.txt
  • C:\83718381200378767.txt
  • C:\650839138138265.txt
  • C:\87455869175583977.txt
  • C:\69400977238595515.txt
  • C:\91086985144771892.txt
  • C:\91187638133718056.txt
  • C:\24377901511115225.txt
  • C:\29757630329472989.txt
  • C:\137383228132809382.txt
  • C:\29828278280411342.txt
  • C:\26826542308812541.txt
  • C:\50682396308504537.txt
  • C:\174076185105904715.txt
  • C:\3257576329561817.txt
  • C:\258228599190555697.txt
  • C:\2629166846263678.txt
  • C:\17364375258183949.txt
  • C:\11890079767008239.txt
  • C:\173245825190023005.txt
  • C:\258881975255368958.txt
  • C:\262137381165929064.txt
  • C:\21567859241988740.txt
  • C:\54420350119395956.txt
  • C:\3015115999606155.txt
  • C:\102472121220443894.txt
  • C:\191867538124952609.txt
  • C:\227499851210543618.txt
  • C:\73328953105107759.txt
  • C:\189179227229864196.txt
  • C:\247672370105946221.txt
  • C:\228338299239927817.txt
  • C:\170571926212143994.txt
  • C:\30941896190968836.txt
  • C:\76614393227666175.txt
  • C:\168615513110400066.txt
  • C:\131216286119836495.txt
  • C:\134669576175716120.txt
  • C:\101120272204716947.txt
  • C:\126581787152130325.txt
  • C:\3696223848453022.txt
  • C:\145727995282861661.txt
  • C:\150103371183235209.txt
  • C:\277576128232578079.txt
  • C:\66209249209972511.txt
  • C:\195924315207780004.txt
  • C:\13703377490806652.txt
  • C:\15057628169778155.txt
  • C:\13848913979925325.txt
  • C:\217119540108748639.txt
  • C:\268489701293387423.txt
  • C:\192798678228694507.txt
  • C:\24603696725224428.txt
  • C:\8696038239060171.txt
  • C:\30602474638510383.txt
  • C:\9274494123919934.txt
  • C:\256053787163118432.txt
  • C:\288901253183756280.txt
  • C:\27413766916605772.txt
  • C:\100480858288585303.txt
  • C:\5567764103948133.txt
  • C:\2309457192684340.txt
  • C:\186793156122525867.txt
  • C:\4355754712725671.txt
  • C:\889240562648555.txt
  • C:\201513283123469222.txt
  • C:\53747026149355301.txt
  • C:\244871570214386132.txt
  • C:\55116154146465043.txt
  • C:\17633145270150085.txt
  • C:\129172561187441239.txt
  • C:\11366518251604730.txt
  • C:\16757611961115290.txt
  • C:\276649069147305148.txt
  • C:\16836476130521509.txt
  • C:\287753557165639808.txt
  • C:\23995620146784873.txt
  • C:\635867674262295.txt
  • C:\23707080569664289.txt
  • C:\21922153138236878.txt
  • C:\5831007077286176.txt
  • C:\6937960394535632.txt
  • C:\94478551121039528.txt
  • C:\268344675200640924.txt
  • C:\306012192114181407.txt
  • C:\14647209460707740.txt
  • C:\128815114114955341.txt
  • C:\74059840116658245.txt
  • C:\2766174528617754.txt
  • C:\8073799871963330.txt
  • C:\84907328159430149.txt
  • C:\260738175241311385.txt
  • C:\249447658246405180.txt
  • C:\42396392134809025.txt
  • C:\23656566227698866.txt
  • C:\96274828238515957.txt
  • C:\36824694124878943.txt
  • C:\241133585227045817.txt
  • C:\20464106125899400.txt
  • C:\5894836138381513.txt
  • C:\1548145119123098.txt
  • C:\279692898211489114.txt
  • C:\2769266889674207.txt
  • C:\206772354107800090.txt
  • C:\56316619123134390.txt
  • C:\45161872264227406.txt
  • C:\239834284170334668.txt
  • C:\14008080777593350.txt
  • C:\26001894262409235.txt
Сетевая активность
TCP
Запросы HTTP GET
  • http://www.microsoft.com/
  • 'microsoft.com':443
  • UDP
    • DNS ASK microsoft.com
    Другое
    Ищет следующие окна
    • ClassName: 'Progman' WindowName: ''
    • ClassName: 'Proxy Desktop' WindowName: ''
    • ClassName: 'SystemTray_Main' WindowName: ''
    • ClassName: 'Media Center Tray Applet' WindowName: ''
    • ClassName: 'CicLoaderWndClass' WindowName: ''
    Создает и запускает на исполнение
    • '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f' (со скрытым окном)
    • '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 2 /f' (со скрытым окном)
    • '<SYSTEM32>\tskill.exe' Explorer' (со скрытым окном)
    • '<SYSTEM32>\tskill.exe' winlogon' (со скрытым окном)
    Запускает на исполнение
    • '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
    • '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 2 /f
    • '<SYSTEM32>\tskill.exe' Explorer
    • '%WINDIR%\explorer.exe'
    • '<SYSTEM32>\tskill.exe' winlogon
    • '<SYSTEM32>\smss.exe' 00000000 0000003c
    • '<SYSTEM32>\csrss.exe' ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitializa...
    • '<SYSTEM32>\winlogon.exe'

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке

    Российский разработчик антивирусов Dr.Web

    Опыт разработки с 1992 года

    Dr.Web пользуются в 200+ странах мира

    Dr.Web в Реестре Отечественного ПО

    Более 71% дохода компании — продажи бизнес-клиентам

    Круглосуточная поддержка на русском языке

    © «Доктор Веб»
    2003 — 2020

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А