Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Carberp.2229

Добавлен в вирусную базу Dr.Web: 2020-08-22

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [<HKLM>\System\CurrentControlSet\Services\cdupvwukuup] 'ImagePath' = '<DRIVERS>\6zlG3u.sys'
Создает следующие сервисы
  • 'cdupvwukuup' <DRIVERS>\6zlG3u.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
Изменения в файловой системе
Создает следующие файлы
  • %WINDIR%\logs\regedt32.exe
  • <DRIVERS>\6zlg3u.sys
Удаляет следующие файлы
  • <DRIVERS>\6zlg3u.sys
Самоудаляется.
Сетевая активность
Подключается к
  • 'nq#####z.slt.cdntip.com':80
TCP
Запросы HTTP GET
  • http://do##.onefast.cc/pgm/mpr/c995ec7fd4f57c0d/ba0d3a0c64381620.zip
  • http://do##.onefast.cc/cfg/cmc/kfbd.txt
  • http://do##.onefast.cc/pgm/mds/f5d2972ba2a267dd/01b52f532c849cf0a0826e6cc91a81e065f5f85f2c18615f64.zip
  • http://do##.onefast.cc/cfg/cmc/sfbd.txt
  • http://do##.onefast.cc/pgm/mds/422ed73a26bc994c/8f6b181e9acd608997be30b44587702c5fa71ab95043b48164.zip
  • http://do##.onefast.cc/cfg/cmc/b2.txt
  • http://12#.#1.239.87/report.php?da###############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/cmc/qzpass.txt
  • http://11#.#29.33.201/report/report_data?da######################################################################################################################################################...
  • http://do##.onefast.cc/cfg/cmc/slfdm.txt
  • http://do##.onefast.cc/pgm/mds/05631e93ccdb00ee/f79e9e12124babd52a923e85354d41ce3a4cf3b5a251035d64.zip
  • http://11#.#29.33.201/report.php?ty##############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/pub/ps.json
  • http://do##.onefast.cc/cfg/pub/ms.json
  • http://do##.onefast.cc/cfg/user/c995ec7fd4f57c0d/ba0d3a0c64381620.json
  • http://sp#.#aidu.com/8aQDcjqpAAV3otqbppnN2DJv/api.php?qu##############################################################
  • http://ap##.#ame.qq.com/comm-htdocs/ip/get_ip.php
  • http://do##.onefast.cc/cfg/cmc/userpq.zip
  • http://do##.onefast.cc/cfg/cmc/kfbdu.txt
  • http://do##.onefast.cc/pgm/mds/e02f10e3a7d5dc64/eb5925c644b456129ae4a2f716342f517f1b2e3ae2c1a0bb64.zip
UDP
  • DNS ASK do##.onefast.cc
  • DNS ASK vu####sfuner3.com
  • DNS ASK aj.##51od.top
  • DNS ASK aj.##770yl.top
  • DNS ASK aj.##82qm.top
  • DNS ASK aj.##722o.top
  • DNS ASK aj.##552p.top
  • DNS ASK aj.##89dns.top
  • DNS ASK aj.##98n.top
  • DNS ASK st####.meiqia.com
  • DNS ASK vv#.#anhf.vip
  • DNS ASK 29##2.top
  • DNS ASK mp####.hjkl45678.xyz
  • DNS ASK zx###xltzy.com
  • DNS ASK cl####.vbnm34567.xyz
  • DNS ASK aj.##839qv.top
  • DNS ASK s3#######.meiqiausercontent.com
  • DNS ASK sp#.#aidu.com
  • DNS ASK ap##.#ame.qq.com
  • DNS ASK nq#####z.slt.cdntip.com
  • DNS ASK s3#####ud.meiqia.com
  • DNS ASK vi##548.com
  • DNS ASK 29##019.com
  • DNS ASK do##.####ast.cc.cdn.dnsv1.com
  • DNS ASK lo#.#nefast.cc
  • DNS ASK ch#####k.mstatik.com
  • DNS ASK te########ets.meiqiausercontent.com
  • DNS ASK ca#######client-a.meiqia.com
  • DNS ASK ne####i.meiqia.com
  • DNS ASK nm#####.hjkl45678.xyz
  • '<LOCALNET>.58.183':55768
  • '<LOCALNET>.58.184':43327
  • '<LOCALNET>.58.185':47390
  • '<LOCALNET>.58.194':39438
  • '<LOCALNET>.58.187':39260
  • '<LOCALNET>.58.20':54250
  • '<LOCALNET>.58.189':30866
  • '<LOCALNET>.58.190':55946
  • '<LOCALNET>.58.191':51883
  • '<LOCALNET>.58.192':64200
  • '<LOCALNET>.58.193':60137
  • '<LOCALNET>.58.188':26803
  • '<LOCALNET>.58.186':35197
  • '<LOCALNET>.58.181':63898
  • '<LOCALNET>.58.202':16501
  • '<LOCALNET>.58.197':43629
  • '<LOCALNET>.58.182':51705
  • '<LOCALNET>.58.199':19363
  • '<LOCALNET>.58.200':14658
  • '<LOCALNET>.58.201':10595
  • '<LOCALNET>.58.203':12438
  • '<LOCALNET>.58.204':31174
  • '<LOCALNET>.58.205':27111
  • '<LOCALNET>.58.206':22916
  • '<LOCALNET>.58.207':18853
  • '<LOCALNET>.58.208':47178
  • '<LOCALNET>.58.209':43115
  • '<LOCALNET>.58.196':47692
  • '<LOCALNET>.58.195':35375
  • '<LOCALNET>.58.178':30861
  • '<LOCALNET>.58.167':47699
  • '<LOCALNET>.58.166':43634
  • '<LOCALNET>.58.152':49061
  • '<LOCALNET>.58.153':44932
  • '<LOCALNET>.58.154':57187
  • '<LOCALNET>.58.155':53058
  • '<LOCALNET>.58.156':65313
  • '<LOCALNET>.58.157':61184
  • '<LOCALNET>.58.158':18020
  • '<LOCALNET>.58.159':13891
  • '<LOCALNET>.58.160':51892
  • '<LOCALNET>.58.161':55957
  • '<LOCALNET>.58.162':60150
  • '<LOCALNET>.58.163':64215
  • '<LOCALNET>.58.164':35376
  • '<LOCALNET>.58.211':16839
  • '<LOCALNET>.58.179':26796
  • '<LOCALNET>.58.198':23426
  • '<LOCALNET>.58.168':19388
  • '<LOCALNET>.58.169':23453
  • '<LOCALNET>.58.170':63877
  • '<LOCALNET>.58.171':59812
  • '<LOCALNET>.58.172':55751
  • '<LOCALNET>.58.173':51686
  • '<LOCALNET>.58.174':47361
  • '<LOCALNET>.58.175':43296
  • '<LOCALNET>.58.176':39235
  • '<LOCALNET>.58.177':35170
  • '<LOCALNET>.58.210':12776
  • '<LOCALNET>.58.180':59835
  • '<LOCALNET>.58.165':39441
  • '<LOCALNET>.58.148':11742
  • '<LOCALNET>.58.227':12231
  • '<LOCALNET>.58.246':38208
  • '<LOCALNET>.58.247':34145
  • '<LOCALNET>.58.248':29838
  • '<LOCALNET>.58.249':25775
  • '<LOCALNET>.58.250':50871
  • '<LOCALNET>.58.251':54934
  • '<LOCALNET>.58.252':59125
  • '<LOCALNET>.58.253':63188
  • '<LOCALNET>.58.254':34355
  • '23#.#23.112.211':63398
  • '<LOCALNET>.58.17':63070
  • '<LOCALNET>.58.16':59007
  • '<LOCALNET>.58.15':54812
  • '<LOCALNET>.58.14':50749
  • '<LOCALNET>.58.243':50661
  • '<LOCALNET>.58.242':54724
  • '<LOCALNET>.58.11':38552
  • '<LOCALNET>.58.10':34489
  • '<LOCALNET>.58.9':49406
  • '<LOCALNET>.58.8':53471
  • '<LOCALNET>.58.7':18597
  • '<LOCALNET>.58.6':12561
  • '<LOCALNET>.58.5':10471
  • '<LOCALNET>.58.4':14536
  • '<LOCALNET>.58.3':25012
  • '<LOCALNET>.58.2':29077
  • '<LOCALNET>.58.1':16886
  • '<LOCALNET>.58.245':42275
  • '<LOCALNET>.58.244':46338
  • '<LOCALNET>.58.13':46810
  • '<LOCALNET>.58.214':19191
  • '<LOCALNET>.58.151':36806
  • '<LOCALNET>.58.230':27665
  • '<LOCALNET>.58.216':27317
  • '<LOCALNET>.58.217':31380
  • '<LOCALNET>.58.218':35707
  • '<LOCALNET>.58.219':39770
  • '<LOCALNET>.58.220':24352
  • '<LOCALNET>.58.221':20225
  • '<LOCALNET>.58.222':32610
  • '<LOCALNET>.58.223':28483
  • '<LOCALNET>.58.224':18201
  • '<LOCALNET>.58.225':14074
  • '<LOCALNET>.58.226':16358
  • '<LOCALNET>.58.212':10801
  • '<LOCALNET>.58.150':40935
  • '<LOCALNET>.58.213':14864
  • '<LOCALNET>.58.215':23254
  • '<LOCALNET>.58.85':27780
  • '<LOCALNET>.58.232':19539
  • '<LOCALNET>.58.233':23666
  • '<LOCALNET>.58.234':11413
  • '<LOCALNET>.58.235':15540
  • '<LOCALNET>.58.236':13388
  • '<LOCALNET>.58.237':17515
  • '<LOCALNET>.58.238':60697
  • '<LOCALNET>.58.239':64824
  • '<LOCALNET>.58.240':62854
  • '<LOCALNET>.58.241':58791
  • '<LOCALNET>.58.228':56872
  • '<LOCALNET>.58.19':16133
  • '<LOCALNET>.58.229':52745
  • '<LOCALNET>.58.231':31792
  • '<LOCALNET>.58.136':21895
  • '<LOCALNET>.58.135':26084
  • '<LOCALNET>.58.56':10939
  • '<LOCALNET>.58.57':15002
  • '<LOCALNET>.58.58':52085
  • '<LOCALNET>.58.59':56148
  • '<LOCALNET>.58.60':18083
  • '<LOCALNET>.58.62':16236
  • '<LOCALNET>.58.63':12109
  • '<LOCALNET>.58.64':24490
  • '<LOCALNET>.58.65':20363
  • '<LOCALNET>.58.66':32744
  • '<LOCALNET>.58.67':28617
  • '<LOCALNET>.58.53':31262
  • '<LOCALNET>.58.68':40486
  • '<LOCALNET>.58.51':23132
  • '<LOCALNET>.58.50':19069
  • '<LOCALNET>.58.149':15871
  • '<LOCALNET>.58.73':17393
  • '<LOCALNET>.58.74':27803
  • '<LOCALNET>.58.75':31930
  • '<LOCALNET>.58.76':19673
  • '<LOCALNET>.58.77':23800
  • '<LOCALNET>.58.78':44311
  • '<LOCALNET>.58.79':48438
  • '<LOCALNET>.58.80':15393
  • '<LOCALNET>.58.81':11264
  • '<LOCALNET>.58.82':17368
  • '<LOCALNET>.58.69':36359
  • '<LOCALNET>.58.52':27199
  • '<LOCALNET>.58.70':11295
  • '<LOCALNET>.58.71':15422
  • '<LOCALNET>.58.72':13266
  • '<LOCALNET>.58.37':36924
  • '<LOCALNET>.58.34':41055
  • '<LOCALNET>.58.33':53432
  • '<LOCALNET>.58.32':49305
  • '<LOCALNET>.58.31':61690
  • '<LOCALNET>.58.30':57563
  • '<LOCALNET>.58.23':58249
  • '<LOCALNET>.58.28':21218
  • '<LOCALNET>.58.27':41741
  • '<LOCALNET>.58.26':45868
  • '<LOCALNET>.58.25':33615
  • '<LOCALNET>.58.24':37742
  • '<LOCALNET>.58.35':45182
  • '<LOCALNET>.58.29':17091
  • '<LOCALNET>.58.21':50123
  • '<LOCALNET>.58.36':32797
  • '<LOCALNET>.58.38':25043
  • '<LOCALNET>.58.39':29170
  • '<LOCALNET>.58.40':31052
  • '<LOCALNET>.58.41':26989
  • '<LOCALNET>.58.42':22798
  • '<LOCALNET>.58.44':14792
  • '<LOCALNET>.58.45':10729
  • '<LOCALNET>.58.46':16639
  • '<LOCALNET>.58.47':12576
  • '<LOCALNET>.58.48':63556
  • '<LOCALNET>.58.49':59493
  • '<LOCALNET>.58.83':13239
  • '<LOCALNET>.58.22':62376
  • '<LOCALNET>.58.43':18735
  • '<LOCALNET>.58.54':12910
  • '<LOCALNET>.58.84':31909
  • '<LOCALNET>.58.120':11749
  • '<LOCALNET>.58.121':15814
  • '<LOCALNET>.58.122':19879
  • '<LOCALNET>.58.123':13843
  • '<LOCALNET>.58.124':18164
  • '<LOCALNET>.58.125':22229
  • '<LOCALNET>.58.126':26294
  • '<LOCALNET>.58.127':30359
  • '<LOCALNET>.58.128':34680
  • '<LOCALNET>.58.129':38745
  • '<LOCALNET>.58.130':13633
  • '<LOCALNET>.58.131':19669
  • '<LOCALNET>.58.132':15480
  • '<LOCALNET>.58.55':16973
  • '<LOCALNET>.58.118':53803
  • '<LOCALNET>.58.117':19257
  • '<LOCALNET>.58.12':42747
  • '<LOCALNET>.58.18':12070
  • '<LOCALNET>.58.138':46153
  • '<LOCALNET>.58.139':42088
  • '<LOCALNET>.58.140':44246
  • '<LOCALNET>.58.141':48375
  • '<LOCALNET>.58.142':35988
  • '<LOCALNET>.58.143':40117
  • '<LOCALNET>.58.144':60498
  • '<LOCALNET>.58.145':64627
  • '<LOCALNET>.58.146':52240
  • '<LOCALNET>.58.147':56369
  • '<LOCALNET>.58.134':30149
  • '<LOCALNET>.58.133':11415
  • '<LOCALNET>.58.119':49674
  • '<LOCALNET>.58.116':13285
  • '<LOCALNET>.58.102':16464
  • '<LOCALNET>.58.88':48425
  • '<LOCALNET>.58.89':44296
  • '<LOCALNET>.58.90':13957
  • '<LOCALNET>.58.91':18086
  • '<LOCALNET>.58.92':12114
  • '<LOCALNET>.58.93':16243
  • '<LOCALNET>.58.94':20372
  • '<LOCALNET>.58.95':24501
  • '<LOCALNET>.58.96':28630
  • '<LOCALNET>.58.97':32759
  • '<LOCALNET>.58.98':36376
  • '<LOCALNET>.58.99':40505
  • '<LOCALNET>.58.100':24594
  • '<LOCALNET>.58.86':23783
  • '<LOCALNET>.58.87':19654
  • '<LOCALNET>.58.103':20593
  • '<LOCALNET>.58.104':18443
  • '<LOCALNET>.58.105':12471
  • '<LOCALNET>.58.106':10313
  • '<LOCALNET>.58.107':14442
  • '<LOCALNET>.58.108':57626
  • '<LOCALNET>.58.109':61755
  • '<LOCALNET>.58.110':21283
  • '<LOCALNET>.58.111':17154
  • '<LOCALNET>.58.112':29537
  • '<LOCALNET>.58.113':25408
  • '<LOCALNET>.58.114':15132
  • '<LOCALNET>.58.115':11003
  • '<LOCALNET>.58.101':28723
  • '<LOCALNET>.58.137':17830
Другое
Ищет следующие окна
  • ClassName: 'ProgMan' WindowName: ''
  • ClassName: 'SHELLDLL_DefView' WindowName: ''
  • ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
  • '%WINDIR%\logs\regedt32.exe'
  • '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
  • '<SYSTEM32>\ipconfig.exe' /flushdns
  • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Полный путь к файлу>"
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\logs\regedt32.exe"
  • '%WINDIR%\syswow64\timeout.exe' /t 1

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке