Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.PWS.Stealer.30224

Добавлен в вирусную базу Dr.Web: 2021-04-06

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Host' = '%ALLUSERSPROFILE%\Windows Host\Windows Host.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
  • %WINDIR%\microsoft.net\framework\v4.0.30319\addinprocess32.exe
следующие пользовательские процессы:
  • 5504883.exe
Завершает или пытается завершить
следующие пользовательские процессы:
  • firefox.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
  • %LOCALAPPDATA%\google\chrome\user data\default\login data
  • %LOCALAPPDATA%\google\chrome\user data\default\cookies
  • %LOCALAPPDATA%\google\chrome\user data\default\web data
  • %APPDATA%\opera software\opera stable\login data
  • %HOMEPATH%\desktop\february_catalogue__2015.doc
  • %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
  • %HOMEPATH%\desktop\ovp25012015.doc
  • %HOMEPATH%\desktop\weeklysheet1215.doc
Изменения в файловой системе
Создает следующие файлы
  • %ALLUSERSPROFILE%\4398191.exe
  • %TEMP%\tmp3c26.tmp
  • %TEMP%\tmp3c25.tmp
  • %TEMP%\tmp3c14.tmp
  • %TEMP%\tmp3c13.tmp
  • %TEMP%\tmp3c12.tmp
  • %TEMP%\tmp3c01.tmp
  • %TEMP%\tmp3c76.tmp
  • %TEMP%\tmp3c00.tmp
  • %TEMP%\tmp3bfe.tmp
  • %TEMP%\tmp3bee.tmp
  • %TEMP%\tmp3bed.tmp
  • %TEMP%\tmp3bcd.tmp
  • %TEMP%\tmp3bcc.tmp
  • %TEMP%\tmp3bcb.tmp
  • %TEMP%\tmp3bff.tmp
  • %TEMP%\tmp3bca.tmp
  • %TEMP%\tmp3bb9.tmp
  • %TEMP%\tmp3c39.tmp
  • %TEMP%\tmp3c28.tmp
  • %TEMP%\tmp3c75.tmp
  • %TEMP%\tmp3c74.tmp
  • %TEMP%\tmp3c63.tmp
  • %TEMP%\tmp3c62.tmp
  • %TEMP%\tmp3c61.tmp
  • %TEMP%\tmp3c38.tmp
  • %TEMP%\tmp3c60.tmp
  • %TEMP%\tmp3c27.tmp
  • %TEMP%\tmp3c4e.tmp
  • %TEMP%\tmp3c4d.tmp
  • %TEMP%\tmp3c4c.tmp
  • %TEMP%\tmp3c3b.tmp
  • %TEMP%\tmp3c3a.tmp
  • %TEMP%\tmp3c5f.tmp
  • %TEMP%\tmpe96.tmp
  • %TEMP%\tmp3c4f.tmp
  • %TEMP%\tmpefd.tmp
  • %TEMP%\tmped3.tmp
  • %TEMP%\tmped2.tmp
  • %TEMP%\tmpec2.tmp
  • %TEMP%\tmpec1.tmp
  • %TEMP%\tmpec0.tmp
  • %TEMP%\tmpebf.tmp
  • %TEMP%\tmpf53.tmp
  • %TEMP%\tmpeae.tmp
  • %TEMP%\tmpeac.tmp
  • %TEMP%\tmpeab.tmp
  • %TEMP%\tmpeaa.tmp
  • %TEMP%\tmpea9.tmp
  • %TEMP%\tmpe99.tmp
  • %TEMP%\tmpe98.tmp
  • %TEMP%\tmpead.tmp
  • %TEMP%\tmp3bb8.tmp
  • %TEMP%\tmpf63.tmp
  • %TEMP%\tmpee7.tmp
  • %TEMP%\tmped5.tmp
  • %TEMP%\tmpf42.tmp
  • %TEMP%\tmpf41.tmp
  • %TEMP%\tmpf30.tmp
  • %TEMP%\tmpf2f.tmp
  • %TEMP%\tmpf1f.tmp
  • %TEMP%\tmpee6.tmp
  • %TEMP%\tmpf0e.tmp
  • %TEMP%\tmped4.tmp
  • %TEMP%\tmpefc.tmp
  • %TEMP%\tmpeeb.tmp
  • %TEMP%\tmpeea.tmp
  • %TEMP%\tmpee9.tmp
  • %TEMP%\tmpee8.tmp
  • %TEMP%\tmpefe.tmp
  • %TEMP%\tmpe97.tmp
  • %TEMP%\tmp3c77.tmp
  • %TEMP%\tmp3c9f.tmp
  • %TEMP%\tmp6433.tmp
  • %TEMP%\tmp6432.tmp
  • %TEMP%\tmp6431.tmp
  • %TEMP%\tmp6430.tmp
  • %TEMP%\tmp642f.tmp
  • %TEMP%\tmp641f.tmp
  • %TEMP%\tmp63f5.tmp
  • %TEMP%\tmp641e.tmp
  • %TEMP%\tmp641c.tmp
  • %TEMP%\tmp641b.tmp
  • %TEMP%\tmp640a.tmp
  • %TEMP%\tmp6409.tmp
  • %TEMP%\tmp6408.tmp
  • %TEMP%\tmp6407.tmp
  • %TEMP%\tmp641d.tmp
  • %TEMP%\tmp63f6.tmp
  • %TEMP%\tmp6444.tmp
  • %TEMP%\tmp646c.tmp
  • %TEMP%\tmp64c1.tmp
  • %TEMP%\tmp64b0.tmp
  • %TEMP%\tmp64a0.tmp
  • %TEMP%\tmp648f.tmp
  • %TEMP%\tmp647f.tmp
  • %TEMP%\tmp647e.tmp
  • %TEMP%\tmp6446.tmp
  • %TEMP%\tmp6445.tmp
  • %TEMP%\tmp645b.tmp
  • %TEMP%\tmp645a.tmp
  • %TEMP%\tmp6459.tmp
  • %TEMP%\tmp6458.tmp
  • %TEMP%\tmp6448.tmp
  • %TEMP%\tmp6447.tmp
  • %TEMP%\tmp646d.tmp
  • %TEMP%\tmp3c89.tmp
  • %TEMP%\tmp3c78.tmp
  • %TEMP%\tmp63e3.tmp
  • %TEMP%\tmp3ca0.tmp
  • %TEMP%\tmp3cf3.tmp
  • %TEMP%\tmp3cd3.tmp
  • %TEMP%\tmp3cc2.tmp
  • %TEMP%\tmp3cb2.tmp
  • %TEMP%\tmp3ca1.tmp
  • %TEMP%\tmp3d04.tmp
  • %TEMP%\tmp6344.tmp
  • %TEMP%\tmp63f3.tmp
  • %TEMP%\tmp3c9d.tmp
  • %TEMP%\tmp3c8d.tmp
  • %TEMP%\tmp3c8c.tmp
  • %TEMP%\tmp3c8b.tmp
  • %TEMP%\tmp3c8a.tmp
  • %TEMP%\tmp3c9e.tmp
  • %TEMP%\tmp63f4.tmp
  • %TEMP%\tmp6345.tmp
  • %TEMP%\tmp637d.tmp
  • %TEMP%\tmp638e.tmp
  • %TEMP%\tmp63e1.tmp
  • %TEMP%\tmp63d0.tmp
  • %TEMP%\tmp63cf.tmp
  • %TEMP%\tmp6390.tmp
  • %TEMP%\tmp638f.tmp
  • %TEMP%\tmp63e2.tmp
  • %TEMP%\tmp6356.tmp
  • %TEMP%\tmp6357.tmp
  • %TEMP%\tmp637b.tmp
  • %TEMP%\tmp636b.tmp
  • %TEMP%\tmp636a.tmp
  • %TEMP%\tmp6369.tmp
  • %TEMP%\tmp6368.tmp
  • %TEMP%\tmp637c.tmp
  • %TEMP%\tmpe95.tmp
  • %TEMP%\tmpe84.tmp
  • %TEMP%\tmpe83.tmp
  • %TEMP%\tmpec4c.tmp
  • %TEMP%\tmpec4b.tmp
  • %TEMP%\tmpec4a.tmp
  • %TEMP%\tmpec39.tmp
  • %TEMP%\tmpec38.tmp
  • %TEMP%\tmpec5d.tmp
  • %TEMP%\tmpec37.tmp
  • %TEMP%\tmpec26.tmp
  • %TEMP%\tmpec25.tmp
  • %TEMP%\tmpec24.tmp
  • %TEMP%\tmpec13.tmp
  • %TEMP%\tmpec12.tmp
  • %TEMP%\tmpec11.tmp
  • %TEMP%\tmpec36.tmp
  • %TEMP%\tmpec10.tmp
  • %TEMP%\tmpecae.tmp
  • %TEMP%\tmpebff.tmp
  • %TEMP%\tmpecad.tmp
  • %TEMP%\tmpec9c.tmp
  • %TEMP%\tmpec9b.tmp
  • %TEMP%\tmpec9a.tmp
  • %TEMP%\tmpec99.tmp
  • %TEMP%\tmpec89.tmp
  • %TEMP%\tmpec5f.tmp
  • %TEMP%\tmpec5e.tmp
  • %TEMP%\tmpec86.tmp
  • %TEMP%\tmpec75.tmp
  • %TEMP%\tmpec74.tmp
  • %TEMP%\tmpec73.tmp
  • %TEMP%\tmpec72.tmp
  • %TEMP%\tmpec61.tmp
  • %TEMP%\tmpec87.tmp
  • %TEMP%\tmpec60.tmp
  • %TEMP%\tmpec88.tmp
  • %TEMP%\tmpebfd.tmp
  • %TEMP%\tmpebd7.tmp
  • %ALLUSERSPROFILE%\72\msvcp140.dll
  • %ALLUSERSPROFILE%\72\mozglue.dll
  • %ALLUSERSPROFILE%\72\freebl3.dll
  • %ALLUSERSPROFILE%\72\vcruntime140.dll
  • %ALLUSERSPROFILE%\72\sqlite3.dll
  • %ALLUSERSPROFILE%\4344
  • %ALLUSERSPROFILE%\72\softokn3.dll
  • %ALLUSERSPROFILE%\windows host\windows host.exe
  • %ALLUSERSPROFILE%\4974693.exe
  • %ALLUSERSPROFILE%\5504883.exe
  • %ALLUSERSPROFILE%\4622711.exe
  • %ALLUSERSPROFILE%\8851139.exe
  • %ALLUSERSPROFILE%\8380352.exe
  • %ALLUSERSPROFILE%\7288
  • %TEMP%\tmpebfe.tmp
  • %TEMP%\tmpecaf.tmp
  • %ALLUSERSPROFILE%\72\nss3.dll
  • %TEMP%\tmpebed.tmp
  • %TEMP%\tmpebec.tmp
  • %TEMP%\tmpebeb.tmp
  • %TEMP%\tmpebea.tmp
  • %TEMP%\tmpebd9.tmp
  • %TEMP%\tmpebd8.tmp
  • %ALLUSERSPROFILE%\43\sqlite3.dll
  • %ALLUSERSPROFILE%\43\softokn3.dll
  • %TEMP%\tmpebb6.tmp
  • %TEMP%\tmpeb29.tmp
  • %ALLUSERSPROFILE%\43\nss3.dll
  • %ALLUSERSPROFILE%\43\msvcp140.dll
  • %ALLUSERSPROFILE%\43\mozglue.dll
  • %ALLUSERSPROFILE%\43\freebl3.dll
  • %TEMP%\tmpebc7.tmp
  • %ALLUSERSPROFILE%\43\vcruntime140.dll
  • %TEMP%\tmpec4d.tmp
  • %TEMP%\tmpecb0.tmp
  • %ALLUSERSPROFILE%\43\4ec4df713203e8a42aebc8493f1200e9.txt
  • %TEMP%\tmped89.tmp
  • %ALLUSERSPROFILE%\43\787caad2d4468670dab5c681e6c88140.txt
  • %ALLUSERSPROFILE%\43\901f307a69a441ffb365cc2fa9252b50.txt
  • %ALLUSERSPROFILE%\43\c8f073e583fb9f5777adcd5d5b311063.txt
  • %ALLUSERSPROFILE%\110715.110715
  • %TEMP%\tmped8a.tmp
  • %TEMP%\tmped60.tmp
  • %TEMP%\tmpe23.tmp
  • %TEMP%\tmped62.tmp
  • %TEMP%\tmped77.tmp
  • %TEMP%\tmped76.tmp
  • %TEMP%\tmped75.tmp
  • %TEMP%\tmped74.tmp
  • %TEMP%\tmped63.tmp
  • %TEMP%\tmped78.tmp
  • %TEMP%\tmped79.tmp
  • %TEMP%\tmpe24.tmp
  • %TEMP%\tmpe5c.tmp
  • %TEMP%\tmpe5d.tmp
  • %TEMP%\tmpe71.tmp
  • %TEMP%\tmpe70.tmp
  • %TEMP%\tmpe6f.tmp
  • %TEMP%\tmpe5f.tmp
  • %TEMP%\tmpe5e.tmp
  • %TEMP%\tmpe82.tmp
  • %TEMP%\tmpe35.tmp
  • %TEMP%\tmpe36.tmp
  • %TEMP%\tmpe4a.tmp
  • %TEMP%\tmpe49.tmp
  • %TEMP%\tmpe48.tmp
  • %TEMP%\tmpe38.tmp
  • %TEMP%\tmpe37.tmp
  • %TEMP%\tmpe4b.tmp
  • %TEMP%\tmped61.tmp
  • %TEMP%\tmped50.tmp
  • %TEMP%\tmpecc0.tmp
  • %TEMP%\tmpecfc.tmp
  • %TEMP%\tmpecfb.tmp
  • %TEMP%\tmpecfa.tmp
  • %TEMP%\tmpecf9.tmp
  • %TEMP%\tmpece9.tmp
  • %TEMP%\tmped0e.tmp
  • %TEMP%\tmpece8.tmp
  • %TEMP%\tmpece6.tmp
  • %TEMP%\tmpecc5.tmp
  • %TEMP%\tmpecc4.tmp
  • %TEMP%\tmpecc3.tmp
  • %TEMP%\tmpecc2.tmp
  • %TEMP%\tmpecc1.tmp
  • %TEMP%\tmpece7.tmp
  • %TEMP%\tmped0f.tmp
  • %TEMP%\tmpecfd.tmp
  • %TEMP%\tmped10.tmp
  • %TEMP%\tmped4f.tmp
  • %TEMP%\tmped38.tmp
  • %TEMP%\tmped4e.tmp
  • %TEMP%\tmped4d.tmp
  • %TEMP%\tmped3c.tmp
  • %TEMP%\tmped3b.tmp
  • %TEMP%\tmped3a.tmp
  • %TEMP%\tmped39.tmp
  • %TEMP%\tmped27.tmp
  • %TEMP%\tmped11.tmp
  • %TEMP%\tmped26.tmp
  • %TEMP%\tmped25.tmp
  • %TEMP%\tmped24.tmp
  • %TEMP%\tmped23.tmp
  • %TEMP%\tmped22.tmp
  • %TEMP%\tmped12.tmp
  • %TEMP%\tmp64d2.tmp
  • %TEMP%\tmp64e2.tmp
Присваивает атрибут 'скрытый' для следующих файлов
  • %ALLUSERSPROFILE%\windows host\windows host.exe
Удаляет следующие файлы
  • %TEMP%\tmpebb6.tmp
  • %TEMP%\tmp3c4f.tmp
  • %TEMP%\tmp3c61.tmp
  • %TEMP%\tmp3c60.tmp
  • %TEMP%\tmp3c63.tmp
  • %TEMP%\tmp3c62.tmp
  • %TEMP%\tmp3c75.tmp
  • %TEMP%\tmp3c74.tmp
  • %TEMP%\tmp3c77.tmp
  • %TEMP%\tmp3c76.tmp
  • %TEMP%\tmp3c89.tmp
  • %TEMP%\tmp3d04.tmp
  • %TEMP%\tmp3c5f.tmp
  • %TEMP%\tmp3c4d.tmp
  • %TEMP%\tmp3c8d.tmp
  • %TEMP%\tmp3c8c.tmp
  • %TEMP%\tmp3c9e.tmp
  • %TEMP%\tmp3c9d.tmp
  • %TEMP%\tmp3ca0.tmp
  • %TEMP%\tmp3c9f.tmp
  • %TEMP%\tmp3cb2.tmp
  • %TEMP%\tmp3ca1.tmp
  • %TEMP%\tmp3cd3.tmp
  • %TEMP%\tmp3cc2.tmp
  • %TEMP%\tmp3c78.tmp
  • %TEMP%\tmp3c8a.tmp
  • %TEMP%\tmpf42.tmp
  • %TEMP%\tmp3c8b.tmp
  • %TEMP%\tmp3c01.tmp
  • %TEMP%\tmpf63.tmp
  • %TEMP%\tmp3bb9.tmp
  • %TEMP%\tmp3bb8.tmp
  • %TEMP%\tmp3bcb.tmp
  • %TEMP%\tmp3bca.tmp
  • %TEMP%\tmp3bcd.tmp
  • %TEMP%\tmp3bcc.tmp
  • %TEMP%\tmp3bee.tmp
  • %TEMP%\tmp3bed.tmp
  • %TEMP%\tmp3bff.tmp
  • %TEMP%\tmp3c4c.tmp
  • %TEMP%\tmp3c4e.tmp
  • %TEMP%\tmp3c3b.tmp
  • %TEMP%\tmp3c13.tmp
  • %TEMP%\tmp3c12.tmp
  • %TEMP%\tmp3c25.tmp
  • %TEMP%\tmp3c14.tmp
  • %TEMP%\tmp3c27.tmp
  • %TEMP%\tmp3c26.tmp
  • %TEMP%\tmp3c38.tmp
  • %TEMP%\tmp3c28.tmp
  • %TEMP%\tmp3c3a.tmp
  • %TEMP%\tmp3c39.tmp
  • %TEMP%\tmp3bfe.tmp
  • %TEMP%\tmp3c00.tmp
  • %TEMP%\tmpf53.tmp
  • %TEMP%\tmp3cf3.tmp
  • %TEMP%\tmp6356.tmp
  • %TEMP%\tmp641e.tmp
  • %TEMP%\tmp6430.tmp
  • %TEMP%\tmp642f.tmp
  • %TEMP%\tmp6432.tmp
  • %TEMP%\tmp6431.tmp
  • %TEMP%\tmp6444.tmp
  • %TEMP%\tmp6433.tmp
  • %TEMP%\tmp6446.tmp
  • %TEMP%\tmp6445.tmp
  • %TEMP%\tmp6448.tmp
  • %TEMP%\tmp641c.tmp
  • %TEMP%\tmp641f.tmp
  • %TEMP%\tmp6447.tmp
  • %TEMP%\tmp645b.tmp
  • %TEMP%\tmp645a.tmp
  • %TEMP%\tmp646d.tmp
  • %TEMP%\tmp646c.tmp
  • %TEMP%\tmp647f.tmp
  • %TEMP%\tmp647e.tmp
  • %TEMP%\tmp64a0.tmp
  • %TEMP%\tmp648f.tmp
  • %TEMP%\tmp64b0.tmp
  • %TEMP%\tmp64c1.tmp
  • %TEMP%\tmp6459.tmp
  • %TEMP%\tmp6458.tmp
  • %TEMP%\tmp6344.tmp
  • %TEMP%\tmp6345.tmp
  • %TEMP%\tmp641b.tmp
  • %TEMP%\tmp6369.tmp
  • %TEMP%\tmp6368.tmp
  • %TEMP%\tmp636b.tmp
  • %TEMP%\tmp636a.tmp
  • %TEMP%\tmp637c.tmp
  • %TEMP%\tmp637b.tmp
  • %TEMP%\tmp638e.tmp
  • %TEMP%\tmp637d.tmp
  • %TEMP%\tmp6390.tmp
  • %TEMP%\tmp640a.tmp
  • %TEMP%\tmp6357.tmp
  • %TEMP%\tmp641d.tmp
  • %TEMP%\tmp638f.tmp
  • %TEMP%\tmp63e1.tmp
  • %TEMP%\tmp63f3.tmp
  • %TEMP%\tmp63e3.tmp
  • %TEMP%\tmp63f5.tmp
  • %TEMP%\tmp63f4.tmp
  • %TEMP%\tmp6407.tmp
  • %TEMP%\tmp63f6.tmp
  • %TEMP%\tmp6409.tmp
  • %TEMP%\tmp6408.tmp
  • %TEMP%\tmp63d0.tmp
  • %TEMP%\tmp63cf.tmp
  • %TEMP%\tmp63e2.tmp
  • %TEMP%\tmpf41.tmp
  • %TEMP%\tmpf2f.tmp
  • %TEMP%\tmpf30.tmp
  • %TEMP%\tmpecfb.tmp
  • %TEMP%\tmpecfd.tmp
  • %TEMP%\tmped0f.tmp
  • %TEMP%\tmped11.tmp
  • %TEMP%\tmped22.tmp
  • %TEMP%\tmped24.tmp
  • %TEMP%\tmped26.tmp
  • %TEMP%\tmped38.tmp
  • %TEMP%\tmped3a.tmp
  • %TEMP%\tmped3c.tmp
  • %TEMP%\tmpece8.tmp
  • %ALLUSERSPROFILE%\43\mozglue.dll
  • %TEMP%\tmpece6.tmp
  • %TEMP%\tmped63.tmp
  • %TEMP%\tmped75.tmp
  • %TEMP%\tmped77.tmp
  • %TEMP%\tmped79.tmp
  • %TEMP%\tmped8a.tmp
  • %ALLUSERSPROFILE%\43\4ec4df713203e8a42aebc8493f1200e9.txt
  • %ALLUSERSPROFILE%\43\787caad2d4468670dab5c681e6c88140.txt
  • %ALLUSERSPROFILE%\43\901f307a69a441ffb365cc2fa9252b50.txt
  • %ALLUSERSPROFILE%\43\c8f073e583fb9f5777adcd5d5b311063.txt
  • %ALLUSERSPROFILE%\43\freebl3.dll
  • %TEMP%\tmped50.tmp
  • %TEMP%\tmped4e.tmp
  • %TEMP%\tmped61.tmp
  • %TEMP%\tmpecc2.tmp
  • %TEMP%\tmpec5e.tmp
  • %TEMP%\tmpebd9.tmp
  • %TEMP%\tmpebeb.tmp
  • %TEMP%\tmpebed.tmp
  • %TEMP%\tmpebfe.tmp
  • %TEMP%\tmpec10.tmp
  • %TEMP%\tmpec12.tmp
  • %TEMP%\tmpec24.tmp
  • %TEMP%\tmpec26.tmp
  • %TEMP%\tmpec37.tmp
  • %TEMP%\tmpec39.tmp
  • %TEMP%\tmpecc4.tmp
  • %ALLUSERSPROFILE%\43\msvcp140.dll
  • %TEMP%\tmpebd7.tmp
  • %TEMP%\tmpec60.tmp
  • %TEMP%\tmpec72.tmp
  • %TEMP%\tmpec74.tmp
  • %TEMP%\tmpec86.tmp
  • %TEMP%\tmpec88.tmp
  • %TEMP%\tmpec99.tmp
  • %TEMP%\tmpec9b.tmp
  • %TEMP%\tmpecad.tmp
  • %TEMP%\tmpecaf.tmp
  • %TEMP%\tmpecc0.tmp
  • %TEMP%\tmpec4d.tmp
  • %TEMP%\tmpec4b.tmp
  • %TEMP%\tmpecf9.tmp
  • %ALLUSERSPROFILE%\43\nss3.dll
  • %TEMP%\tmpeab.tmp
  • %TEMP%\tmpead.tmp
  • %TEMP%\tmpeac.tmp
  • %TEMP%\tmpebf.tmp
  • %TEMP%\tmpeae.tmp
  • %TEMP%\tmpec1.tmp
  • %TEMP%\tmpec0.tmp
  • %TEMP%\tmped2.tmp
  • %TEMP%\tmpec2.tmp
  • %TEMP%\tmped4.tmp
  • %TEMP%\tmpe99.tmp
  • %TEMP%\tmpe97.tmp
  • %TEMP%\tmpeaa.tmp
  • %TEMP%\tmped3.tmp
  • %TEMP%\tmpee7.tmp
  • %TEMP%\tmpeea.tmp
  • %TEMP%\tmpee9.tmp
  • %TEMP%\tmpefc.tmp
  • %TEMP%\tmpeeb.tmp
  • %TEMP%\tmpefe.tmp
  • %TEMP%\tmpefd.tmp
  • %TEMP%\tmpf1f.tmp
  • %TEMP%\tmpf0e.tmp
  • %TEMP%\tmpee6.tmp
  • %TEMP%\tmped5.tmp
  • %TEMP%\tmpee8.tmp
  • %TEMP%\tmpea9.tmp
  • %TEMP%\tmpe98.tmp
  • %ALLUSERSPROFILE%\43\softokn3.dll
  • %ALLUSERSPROFILE%\43\vcruntime140.dll
  • %ALLUSERSPROFILE%\4344
  • %TEMP%\tmpe24.tmp
  • %TEMP%\tmpe23.tmp
  • %TEMP%\tmpe36.tmp
  • %TEMP%\tmpe35.tmp
  • %TEMP%\tmpe38.tmp
  • %TEMP%\tmpe37.tmp
  • %TEMP%\tmpe49.tmp
  • %TEMP%\tmpe48.tmp
  • %TEMP%\tmpe4b.tmp
  • %ALLUSERSPROFILE%\43\sqlite3.dll
  • %TEMP%\tmpe4a.tmp
  • %TEMP%\tmpe5c.tmp
  • %TEMP%\tmpe5f.tmp
  • %TEMP%\tmpe5e.tmp
  • %TEMP%\tmpe70.tmp
  • %TEMP%\tmpe6f.tmp
  • %TEMP%\tmpe82.tmp
  • %TEMP%\tmpe71.tmp
  • %TEMP%\tmpe84.tmp
  • %TEMP%\tmpe83.tmp
  • %TEMP%\tmpe96.tmp
  • %TEMP%\tmpe95.tmp
  • %TEMP%\tmpe5d.tmp
  • %TEMP%\tmp64d2.tmp
  • %TEMP%\tmp64e2.tmp
Сетевая активность
Подключается к
  • 'pi###-cdn.xyz':443
  • 'ip###ger.org':443
  • 'u6#.#illo8.ru':443
  • 'microsoft.com':80
  • '9a##.#gmassive.ru':443
  • 'ar###chi.site':80
  • 'ap#.ip.sb':443
  • '9a##.#gmassive.ru':80
  • '87.##1.71.103':3214
  • '45.##.231.78':30761
TCP
Запросы HTTP POST
  • http://ar###chi.site/
  • http://87.###.71.103:3214/ via 87.##1.71.103
  • http://45.##.231.78:30761/ via 45.##.231.78
  • 'pi###-cdn.xyz':443
  • 'ip###ger.org':443
  • 'u6#.#illo8.ru':443
  • 'po####ns3rts.xyz':443
  • 'ho####gfr0nts.xyz':443
  • 'mu###islife.xyz':443
  • 'ap#.ip.sb':443
  • UDP
    • DNS ASK pi###-cdn.xyz
    • DNS ASK ip###ger.org
    • DNS ASK u6#.#illo8.ru
    • DNS ASK 9a##.#gmassive.ru
    • DNS ASK microsoft.com
    • DNS ASK po####ns3rts.xyz
    • DNS ASK ar###chi.site
    • DNS ASK ho####gfr0nts.xyz
    • DNS ASK mu###islife.xyz
    • DNS ASK ap#.ip.sb
    Другое
    Создает и запускает на исполнение
    • '%ALLUSERSPROFILE%\4398191.exe'
    • '%ALLUSERSPROFILE%\8380352.exe'
    • '%ALLUSERSPROFILE%\8851139.exe'
    • '%ALLUSERSPROFILE%\4622711.exe'
    • '%ALLUSERSPROFILE%\5504883.exe'
    • '%ALLUSERSPROFILE%\4974693.exe'
    • '%ALLUSERSPROFILE%\windows host\windows host.exe'
    Запускает на исполнение
    • '%WINDIR%\microsoft.net\framework\v4.0.30319\addinprocess32.exe'

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке