Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.AVKill.25420

Добавлен в вирусную базу Dr.Web: 2012-11-20

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\Messenger] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
  • <SYSTEM32>\net.exe stop "aswUpdSv"
  • <SYSTEM32>\sc.exe stop ashWebSv
  • <SYSTEM32>\sc.exe stop ashServ
  • <SYSTEM32>\net1.exe stop "ashServ"
  • <SYSTEM32>\net.exe stop "ashServ"
  • <SYSTEM32>\net1.exe stop "aswUpdSv"
  • <SYSTEM32>\sc.exe config aswUpdSv start= disabled
  • <SYSTEM32>\tskill.exe "ekrn"
  • <SYSTEM32>\tskill.exe "EhttpSrv"
  • <SYSTEM32>\sc.exe stop aswUpdSv
  • <SYSTEM32>\sc.exe config ashWebSv start= disabled
  • <SYSTEM32>\sc.exe config ashServ start= disabled
  • <SYSTEM32>\net.exe stop "ashWebSv"
  • <SYSTEM32>\sc.exe config SNDSrvc start= disabled
  • <SYSTEM32>\sc.exe config ccSetMgr start= disabled
  • <SYSTEM32>\sc.exe config ccPwdSvc start= disabled
  • <SYSTEM32>\sc.exe config TMBMServer start= disabled
  • <SYSTEM32>\sc.exe config symlcsvc start= disabled
  • <SYSTEM32>\sc.exe config SymWSC start= disabled
  • <SYSTEM32>\tskill.exe "ashServ"
  • <SYSTEM32>\tskill.exe "aswUpdSv"
  • <SYSTEM32>\net1.exe stop "ashWebSv"
  • <SYSTEM32>\sc.exe config ccProxy start= disabled
  • <SYSTEM32>\sc.exe config ccEvtMgr start= disabled
  • <SYSTEM32>\tskill.exe "ashWebSv"
  • <SYSTEM32>\net1.exe stop "Tmntsrv"
  • <SYSTEM32>\net.exe stop "Tmntsrv"
  • <SYSTEM32>\net1.exe stop "PcCtlCom"
  • <SYSTEM32>\net.exe stop "tmproxy"
  • <SYSTEM32>\net1.exe stop "TmPfw"
  • <SYSTEM32>\net.exe stop "TmPfw"
  • <SYSTEM32>\sc.exe stop Tmntsrv
  • <SYSTEM32>\sc.exe stop PcCtlCom
  • <SYSTEM32>\sc.exe config tmproxy start= disabled
  • <SYSTEM32>\net.exe stop "PcCtlCom"
  • <SYSTEM32>\sc.exe stop tmproxy
  • <SYSTEM32>\sc.exe stop TmPfw
  • <SYSTEM32>\net1.exe stop "tmproxy"
  • <SYSTEM32>\net.exe stop "EhttpSrv"
  • <SYSTEM32>\sc.exe stop ekrn
  • <SYSTEM32>\sc.exe stop EhttpSrv
  • <SYSTEM32>\net1.exe stop "ekrn"
  • <SYSTEM32>\net.exe stop "ekrn"
  • <SYSTEM32>\net1.exe stop "EhttpSrv"
  • <SYSTEM32>\tskill.exe "Tmntsrv"
  • <SYSTEM32>\tskill.exe "TmPfw"
  • <SYSTEM32>\tskill.exe "tmproxy"
  • <SYSTEM32>\sc.exe config ekrn start= disabled
  • <SYSTEM32>\sc.exe config EhttpSrv start= disabled
  • <SYSTEM32>\tskill.exe "PcCtlCom"
  • <SYSTEM32>\tskill.exe "ntrtscan"
  • <SYSTEM32>\tskill.exe "OfcPfwSvc"
  • <SYSTEM32>\tskill.exe "TMBMServer"
  • <SYSTEM32>\sc.exe config NPFMntor start= disabled
  • <SYSTEM32>\sc.exe config navapsvc start= disabled
  • <SYSTEM32>\tskill.exe "SAVscan"
  • <SYSTEM32>\tskill.exe "ccSetMgr"
  • <SYSTEM32>\net1.exe stop "SAVscan"
  • <SYSTEM32>\net.exe stop "SAVscan"
  • <SYSTEM32>\tskill.exe "symlcsvc"
  • <SYSTEM32>\tskill.exe "SymWSC"
  • <SYSTEM32>\tskill.exe "SNDSrvc"
  • <SYSTEM32>\sc.exe config NSCService start= disabled
  • <SYSTEM32>\net1.exe stop "NSCService"
  • <SYSTEM32>\net.exe stop "NSCService"
  • <SYSTEM32>\net1.exe stop "NPFMntor"
  • <SYSTEM32>\tskill.exe "navapsvc"
  • <SYSTEM32>\tskill.exe "NPFMntor"
  • <SYSTEM32>\tskill.exe "NSCService"
  • <SYSTEM32>\sc.exe stop NSCService
  • <SYSTEM32>\sc.exe stop NPFMntor
  • <SYSTEM32>\sc.exe stop navapsvc
  • <SYSTEM32>\net.exe stop "NPFMntor"
  • <SYSTEM32>\net1.exe stop "navapsvc"
  • <SYSTEM32>\net.exe stop "navapsvc"
  • <SYSTEM32>\sc.exe stop OfcPfwSvc
  • <SYSTEM32>\sc.exe stop TMBMServer
  • <SYSTEM32>\sc.exe stop symlcsvc
  • <SYSTEM32>\net.exe stop "ccSetMgr"
  • <SYSTEM32>\sc.exe stop SAVscan
  • <SYSTEM32>\sc.exe stop ntrtscan
  • <SYSTEM32>\sc.exe config SAVscan start= disabled
  • <SYSTEM32>\sc.exe config ntrtscan start= disabled
  • <SYSTEM32>\sc.exe config OfcPfwSvc start= disabled
  • <SYSTEM32>\sc.exe stop SymWSC
  • <SYSTEM32>\sc.exe stop SNDSrvc
  • <SYSTEM32>\sc.exe stop ccSetMgr
  • <SYSTEM32>\net1.exe stop "ccSetMgr"
  • <SYSTEM32>\net.exe stop "OfcPfwSvc"
  • <SYSTEM32>\net1.exe stop "TMBMServer"
  • <SYSTEM32>\net.exe stop "TMBMServer"
  • <SYSTEM32>\net1.exe stop "ntrtscan"
  • <SYSTEM32>\net.exe stop "ntrtscan"
  • <SYSTEM32>\net1.exe stop "OfcPfwSvc"
  • <SYSTEM32>\net.exe stop "SymWSC"
  • <SYSTEM32>\net1.exe stop "SNDSrvc"
  • <SYSTEM32>\net.exe stop "SNDSrvc"
  • <SYSTEM32>\net1.exe stop "symlcsvc"
  • <SYSTEM32>\net.exe stop "symlcsvc"
  • <SYSTEM32>\net1.exe stop "SymWSC"
  • <SYSTEM32>\sc.exe config TmPfw start= disabled
  • <SYSTEM32>\sc.exe config MpfService start= disabled
  • <SYSTEM32>\sc.exe config McDetect.exe start= disabled
  • <SYSTEM32>\sc.exe config MSK80Service start= disabled
  • <SYSTEM32>\sc.exe stop McAfeeFramework
  • <SYSTEM32>\sc.exe stop McShield
  • <SYSTEM32>\sc.exe stop McTaskManager
  • <SYSTEM32>\sc.exe config McNASvc start= disabled
  • <SYSTEM32>\sc.exe config mcmscsvc start= disabled
  • <SYSTEM32>\sc.exe config McAfeeFramework start= disabled
  • <SYSTEM32>\sc.exe config McSysmon start= disabled
  • <SYSTEM32>\sc.exe config McProxy start= disabled
  • <SYSTEM32>\sc.exe config McODS start= disabled
  • <SYSTEM32>\sc.exe stop mcmscsvc
  • <SYSTEM32>\net1.exe stop "McTaskManager"
  • <SYSTEM32>\net.exe stop "McTaskManager"
  • <SYSTEM32>\sc.exe stop MpfService
  • <SYSTEM32>\net.exe stop "McAfeeFramework"
  • <SYSTEM32>\net1.exe stop "McShield"
  • <SYSTEM32>\net.exe stop "McShield"
  • <SYSTEM32>\sc.exe stop McProxy
  • <SYSTEM32>\sc.exe stop McODS
  • <SYSTEM32>\sc.exe stop McNASvc
  • <SYSTEM32>\sc.exe stop McDetect
  • <SYSTEM32>\sc.exe stop MSK80Service
  • <SYSTEM32>\sc.exe stop McSysmon
  • <SYSTEM32>\sc.exe config ERSvc start= disabled
  • <SYSTEM32>\tskill.exe "Messenger"
  • <SYSTEM32>\net1.exe start "Messenger"
  • <SYSTEM32>\net1.exe stop "ERSvc"
  • <SYSTEM32>\net.exe stop "ERSvc"
  • <SYSTEM32>\sc.exe stop ERSvc
  • <SYSTEM32>\net1.exe start "mnsrvc"
  • <SYSTEM32>\sc.exe start mnsrvc
  • <SYSTEM32>\sc.exe config mnsrvc start= auto
  • <SYSTEM32>\sc.exe start Messenger
  • <SYSTEM32>\sc.exe config Messenger start= auto
  • <SYSTEM32>\tskill.exe "mnsrvc"
  • <SYSTEM32>\tskill.exe "ERSvc"
  • <SYSTEM32>\tskill.exe "AntiVirService"
  • <SYSTEM32>\net1.exe stop "AntiVirScheduler"
  • <SYSTEM32>\net.exe stop "AntiVirScheduler"
  • <SYSTEM32>\sc.exe config McShield start= disabled
  • <SYSTEM32>\sc.exe config McTaskManager start= disabled
  • <SYSTEM32>\tskill.exe "AntiVirScheduler"
  • <SYSTEM32>\sc.exe stop AntiVirService
  • <SYSTEM32>\sc.exe config AntiVirScheduler start= disabled
  • <SYSTEM32>\sc.exe config AntiVirService start= disabled
  • <SYSTEM32>\net1.exe stop "AntiVirService"
  • <SYSTEM32>\net.exe stop "AntiVirService"
  • <SYSTEM32>\sc.exe stop AntiVirScheduler
  • <SYSTEM32>\sc.exe config Vsmon start= disabled
  • <SYSTEM32>\tskill.exe "SmcService"
  • <SYSTEM32>\net1.exe stop "SmcService"
  • <SYSTEM32>\net1.exe stop "Vsmon"
  • <SYSTEM32>\net.exe stop "Vsmon"
  • <SYSTEM32>\sc.exe stop Vsmon
  • <SYSTEM32>\tskill.exe "McTaskManager"
  • <SYSTEM32>\tskill.exe "McShield"
  • <SYSTEM32>\tskill.exe "McAfeeFramework"
  • <SYSTEM32>\net.exe stop "SmcService"
  • <SYSTEM32>\sc.exe stop SmcService
  • <SYSTEM32>\sc.exe config SmcService start= disabled
  • <SYSTEM32>\tskill.exe "Vsmon"
  • <SYSTEM32>\tskill.exe "Avg7Alrt"
  • <SYSTEM32>\net1.exe stop "Avg7Alrt"
  • <SYSTEM32>\net.exe stop "Avg7Alrt"
  • <SYSTEM32>\sc.exe config Tmntsrv start= disabled
  • <SYSTEM32>\sc.exe config PcCtlCom start= disabled
  • <SYSTEM32>\tskill.exe "avg8wd"
  • <SYSTEM32>\sc.exe stop avg8wd
  • <SYSTEM32>\sc.exe config Avg7Alrt start= disabled
  • <SYSTEM32>\sc.exe config avg8wd start= disabled
  • <SYSTEM32>\net1.exe stop "avg8wd"
  • <SYSTEM32>\net.exe stop "avg8wd"
  • <SYSTEM32>\sc.exe stop Avg7Alrt
  • <SYSTEM32>\net1.exe stop "McProxy"
  • <SYSTEM32>\net.exe stop "McProxy"
  • <SYSTEM32>\net1.exe stop "McODS"
  • <SYSTEM32>\net.exe stop "MSK80Service"
  • <SYSTEM32>\net1.exe stop "McSysmon"
  • <SYSTEM32>\net.exe stop "McSysmon"
  • <SYSTEM32>\net1.exe stop "mcmscsvc"
  • <SYSTEM32>\net.exe stop "mcmscsvc"
  • <SYSTEM32>\net1.exe stop "McAfeeFramework"
  • <SYSTEM32>\net.exe stop "McODS"
  • <SYSTEM32>\net1.exe stop "McNASvc"
  • <SYSTEM32>\net.exe stop "McNASvc"
  • <SYSTEM32>\net1.exe stop "MSK80Service"
  • <SYSTEM32>\tskill.exe "McProxy"
  • <SYSTEM32>\tskill.exe "McSysmon"
  • <SYSTEM32>\tskill.exe "MSK80Service"
  • <SYSTEM32>\tskill.exe "mcmscsvc"
  • <SYSTEM32>\tskill.exe "McNASvc"
  • <SYSTEM32>\tskill.exe "McODS"
  • <SYSTEM32>\net.exe stop "MpfService"
  • <SYSTEM32>\net1.exe stop "McDetect"
  • <SYSTEM32>\net.exe stop "McDetect"
  • <SYSTEM32>\tskill.exe "McDetect"
  • <SYSTEM32>\tskill.exe "MpfService"
  • <SYSTEM32>\net1.exe stop "MpfService"
Завершает или пытается завершить
следующие пользовательские процессы:
  • ekrn.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\bt87344.bat
Присваивает атрибут 'скрытый' для следующих файлов:
  • %TEMP%\bt87344.bat
Удаляет следующие файлы:
  • %TEMP%\bt87344.bat

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке