Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Gbot.2817

Добавлен в вирусную базу Dr.Web: 2015-11-06

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [<HKLM>\System\CurrentControlSet\Services\UpdateService] 'Start' = '00000002'
  • [<HKLM>\System\CurrentControlSet\Services\UpdateService] 'ImagePath' = '"%ProgramFiles(x86)%\SogouDownLoad\update\UpdateService.exe" /Service'
Создает следующие сервисы
  • 'UpdateService' "%ProgramFiles(x86)%\SogouDownLoad\update\UpdateService.exe" /Service
Вредоносные функции
Регистрирует BHO
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98D5DD5D-0742-4CC1-A0AB-7251C40DB020}]
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\minidownload.exe
  • %ProgramFiles(x86)%\sogoudownload\update\updateservice.exe
  • %ProgramFiles(x86)%\sogoudownload\download\zlib1.dll
  • %ProgramFiles(x86)%\sogoudownload\download\msvcr71.dll
  • %ProgramFiles(x86)%\sogoudownload\download\msvcp71.dll
  • %ProgramFiles(x86)%\sogoudownload\download\id.dat
  • %ProgramFiles(x86)%\sogoudownload\iehint.dll
  • %ProgramFiles(x86)%\sogoudownload\download\download_engine.dll
  • %ProgramFiles(x86)%\sogoudownload\download\atl71.dll
  • %ProgramFiles(x86)%\sogoudownload\download\thunderfw.exe
  • %ProgramFiles(x86)%\sogoudownload\download\minithunderplatform.exe
  • %ProgramFiles(x86)%\sogoudownload\download\minitpfw.exe
  • %ProgramFiles(x86)%\sogoudownload\xldl.dll
  • %ProgramFiles(x86)%\sogoudownload\xldownloadcomps.dll
  • %ProgramFiles(x86)%\sogoudownload\download\dl_peer_id.dll
  • %ProgramFiles(x86)%\sogoudownload\html\images\progressbar.png
  • %ProgramFiles(x86)%\sogoudownload\npdownload64.dll
  • C:\users\public\thunder network\mini_downloadlib\odawmdaznzi=\version_3_2_1_42\profiles\stat.dat
  • %TEMP%\_is3ca9\0x0804.ini
  • %TEMP%\_is3ca9\_ismsidel.ini
  • %TEMP%\_is3ca9\setup.ini
  • %TEMP%\~3c3b.tmp
  • D:\sogoudownload\dfkc2003.exe.td.cfg
  • %ProgramFiles(x86)%\sogoudownload\xldownloadcom.exe
  • %ProgramFiles(x86)%\sogoudownload\npdownload.dll
  • C:\users\public\thunder network\mini_downloadlib\odawmdaznzi=\version_3_2_1_42\profiles\asyn_frame.dat
  • C:\users\public\thunder network\mini_downloadlib\odawmdaznzi=\version_3_2_1_42\profiles\error.dat
  • %PROGRAMDATA%\thunder network\downloadlib\pub_store.dat
  • %ProgramFiles(x86)%\sogoudownload\uninst.exe
  • %TEMP%\nstcc3c.tmp\system.dll
  • %WINDIR%\syswow64\grouppolicy\gpt.ini
  • C:\users\public\thunder network\mini_downloadlib\odawmdaznzi=\version_3_2_1_42\profiles\download.cfg
  • %ProgramFiles(x86)%\sogoudownload\iehint64.dll
  • %ProgramFiles(x86)%\sogoudownload\dlghandler.dll
  • %ProgramFiles(x86)%\sogoudownload\commonstate.dll
  • %ProgramFiles(x86)%\sogoudownload\tmp\externalapp.exe
  • %ProgramFiles(x86)%\sogoudownload\html\css\downloader.css
  • %ProgramFiles(x86)%\sogoudownload\downloaddlg.exe
  • %ProgramFiles(x86)%\sogoudownload\html\config.ini
  • %ProgramFiles(x86)%\sogoudownload\html\download.html
  • %ProgramFiles(x86)%\sogoudownload\html\repair.html
  • %ProgramFiles(x86)%\sogoudownload\html\settings.html
  • %TEMP%\_is3ca9\¶«·½¿ì³µ 2003 ¹²ïí°æ.msi
  • %ProgramFiles(x86)%\sogoudownload\html\css\down.css
  • %ProgramFiles(x86)%\sogoudownload\html\images\error.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\bg_line.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\btn_spr.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\btns.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\check.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\dlbg.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\attention.png
  • C:\users\public\thunder network\mini_downloadlib\odawmdaznzi=\dqeu
  • %ProgramFiles(x86)%\sogoudownload\html\images\error2.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\ico_close.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\errorbg1.png
  • %ProgramFiles(x86)%\sogoudownload\crash\exceptionreport.exe
  • %ProgramFiles(x86)%\sogoudownload\html\js\swfobject.js
  • %ProgramFiles(x86)%\sogoudownload\html\js\jquery-1.11.2.min.js
  • %ProgramFiles(x86)%\sogoudownload\html\js\actions.js
  • %ProgramFiles(x86)%\sogoudownload\html\images\warning.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\errorbg2.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\rocket2.swf
  • %ProgramFiles(x86)%\sogoudownload\html\images\dlico.png
  • %ProgramFiles(x86)%\sogoudownload\html\images\img_exe.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\ico_t.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\ico_spr.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\ico_set.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\ico_min.gif
  • %ProgramFiles(x86)%\sogoudownload\html\images\rocket1.swf
  • %WINDIR%\downloaded installations\{ee8c489a-e385-415b-83af-c758bc00ed85}\¶«·½¿ì³µ 2003 ¹²ïí°æ.msi
Удаляет следующие файлы
  • %TEMP%\nstcc3c.tmp\system.dll
  • %ProgramFiles(x86)%\sogoudownload\tmp\externalapp.exe
  • D:\sogoudownload\dfkc2003.exe.td.cfg
  • %TEMP%\~3c3b.tmp
Подменяет следующие файлы
  • %PROGRAMDATA%\ntuser.pol
Сетевая активность
TCP
Запросы HTTP GET
  • http://yz.###.sogou.com/appinfo?nu######
  • http://pi##.#.sogou.com/pingd?sr################################################################################################
  • http://pi##.#.sogou.com/pingd?sr#############################################################################################################
  • http://t.##gou.com/update_platform/update.php?ap###########################################
  • http://xz.##gou.com/handleUserIdDb256?us#######################################################################################################
  • http://yz.###.sogou.com/tuiguang?do############################################
  • http://yz#.#.sogou.com/externalapp/ExternalApp.exe
  • http://pc#.#timg.com/softmgr/logo/48/dfkc2003_48.png
  • http://pi##.#.sogou.com/pingd?sr#################################################################################################################################################################...
  • http://xz.##gou.com/handleUserIdDb?us#######################################################################################################
  • http://c.####mgr.qq.com/fcgi-bin/partnerdown?so##############################################################################################
  • http://dl.###tmgr.qq.com/original/net_app/DFKC2003.exe
  • http://pi##.#.sogou.com/pingd?sr##########################################################################################################
  • http://xi####.sogou.com/hd/log.js?sr#############################################################################################################################################################...
Запросы HTTP POST
  • http://47.##.7.140:80/
  • http://12#.##5.221.72:80/
  • http://14#.##6.225.232:80/
  • http://14#.##6.225.138:80/
  • http://47.##.171.207:80/
  • http://47.##.75.239:80/
  • http://14#.##6.225.244:80/
UDP
  • DNS ASK yz.###.sogou.com
  • DNS ASK c.####mgr.qq.com
  • DNS ASK hu####.#hub.hz.sandai.net
  • DNS ASK sc###.##ub.hz.sandai.net
  • DNS ASK im#####r.hz.sandai.net
  • DNS ASK dl.###tmgr.qq.com
  • DNS ASK hu#####.shub.hz.sandai.net
  • DNS ASK pm##.#z.sandai.net
  • DNS ASK hu###.hz.sandai.net
  • DNS ASK re###.##ub.hz.sandai.net
  • DNS ASK hu####.hz.sandai.net
  • DNS ASK hu#####.hz.sandai.net
  • DNS ASK yz#.#.sogou.com
  • DNS ASK pc#.#timg.com
  • DNS ASK xz.##gou.com
  • DNS ASK t.##gou.com
  • DNS ASK pi##.#.sogou.com
  • DNS ASK hu####t.sandai.net
  • DNS ASK xi####.sogou.com
  • '23#.#55.255.250':1900
  • 'hu###.hz.sandai.net':8000
  • 'hu###.hz.sandai.net':80
  • 'hu####.hz.sandai.net':8000
  • '<LOCALNET>.36.1':1900
  • 'hu#####.hz.sandai.net':8000
Другое
Ищет следующие окна
  • ClassName: 'MS_AutodialMonitor' WindowName: ''
  • ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
  • '%TEMP%\minidownload.exe'
  • '%ProgramFiles(x86)%\sogoudownload\downloaddlg.exe' /Install?status=true&softurl=http%3A%2F%2Fxiazai.sogou.com%2Fcomm%2Fredir%3Fsoftdown%3D1%26u%3DYRyEVuHeM45mBjjEUSPVUEJm8GF_McJfVdEjKPrgnocp6RPTnPFSKls2-N19zn1VUe5Ij-cWXxlKnSadr_mqeVOSNvUPh8J-DS...
  • '%ProgramFiles(x86)%\sogoudownload\tmp\externalapp.exe' /Update
  • '%ProgramFiles(x86)%\sogoudownload\update\updateservice.exe' /Install
  • '%ProgramFiles(x86)%\sogoudownload\xldownloadcom.exe' /Regserver
  • '%ProgramFiles(x86)%\sogoudownload\update\updateservice.exe' /Service
  • '%ProgramFiles(x86)%\sogoudownload\download\minitpfw.exe'
  • '%ProgramFiles(x86)%\sogoudownload\download\thunderfw.exe' MiniThunderPlatform2020-04-0714:56:52 "%ProgramFiles(x86)%\SogouDownLoad\download\MiniThunderPlatform.exe"
  • '%ProgramFiles(x86)%\sogoudownload\xldownloadcom.exe' -Embedding
  • '%ProgramFiles(x86)%\sogoudownload\download\minithunderplatform.exe' -StartTP
  • '%ProgramFiles(x86)%\sogoudownload\download\minitpfw.exe' ' (со скрытым окном)
  • '%ProgramFiles(x86)%\sogoudownload\download\thunderfw.exe' MiniThunderPlatform2020-04-0714:56:52 "%ProgramFiles(x86)%\SogouDownLoad\download\MiniThunderPlatform.exe"' (со скрытым окном)
Запускает на исполнение
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%ProgramFiles(x86)%\SogouDownLoad\npdownload.dll"
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%ProgramFiles(x86)%\SogouDownLoad\IEHint.dll"
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%ProgramFiles(x86)%\SogouDownLoad\npdownload64.dll"
  • '<SYSTEM32>\regsvr32.exe' /s "%ProgramFiles(x86)%\SogouDownLoad\npdownload64.dll"
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%ProgramFiles(x86)%\SogouDownLoad\IEHint64.dll"
  • '<SYSTEM32>\regsvr32.exe' /s "%ProgramFiles(x86)%\SogouDownLoad\IEHint64.dll"
  • '%WINDIR%\syswow64\regsvr32.exe' /s "%ProgramFiles(x86)%\SogouDownLoad\XLDownloadComPS.dll"
  • '<SYSTEM32>\raserver.exe' /offerraupdate
  • '%WINDIR%\syswow64\msiexec.exe' /i "%WINDIR%\Downloaded Installations\{EE8C489A-E385-415B-83AF-C758BC00ED85}\¶«·½¿ì³µ 2003 ¹²Ïí°æ.msi" SETUPEXEDIR="D:\SogouDownLoad"

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке