Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Carberp.2797

Добавлен в вирусную базу Dr.Web: 2021-05-06

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [<HKLM>\System\CurrentControlSet\Services\osejlekyjr] 'ImagePath' = '<DRIVERS>\xHIPpOmuE.sys'
Создает следующие сервисы
  • 'osejlekyjr' <DRIVERS>\xHIPpOmuE.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\dwm.exe
следующие пользовательские процессы:
  • iexplore.exe
Перехватывает функции
в браузерах
  • Процесс firefox.exe, модуль mswsock.dll
  • Процесс iexplore.exe, модуль mswsock.dll
  • Процесс firefox.exe, модуль wininet.dll
  • Процесс firefox.exe, модуль nss3.dll
  • Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
  • <DRIVERS>\xhippomue.sys
  • %WINDIR%\7ed5e\csrss.exe
  • %ProgramFiles%\dvd maker\manifest.json
  • %ProgramFiles%\dvd maker\background.js
  • %ProgramFiles%\dvd maker\background.html
  • %ProgramFiles%\dvd maker\jquery.min.js
  • %ProgramFiles%\dvd maker\lib\content.js
  • %ProgramFiles%\thgnard\manifest.json
  • %ProgramFiles%\thgnard\background.js
  • %ProgramFiles%\thgnard\background.html
  • %ProgramFiles%\thgnard\jquery.min.js
  • %ProgramFiles%\thgnard\lib\content.js
Удаляет следующие файлы
  • <DRIVERS>\xhippomue.sys
Самоудаляется.
Сетевая активность
Подключается к
  • 'cd########yz.slt.sched.tdnsv8.com':80
  • 'ap##.#ame.qq.com':80
  • 'sp#.#aidu.com':80
  • 'cl####.vbnm34567.xyz':8088
  • 'nm#####.hjkl45678.xyz':80
  • 'mp####.hjkl45678.xyz':80
TCP
Запросы HTTP GET
  • http://do##.onefast.cc/pgm/mpr/c995ec7fd4f57c0d/b746f29ae0e03411.zip
  • http://do##.onefast.cc/cfg/cmc/sfbd.txt
  • http://do##.onefast.cc/pgm/mds/422ed73a26bc994c/face66c3c8766717d00ff2449308f08ce3f16e91eab26e2f64.zip
  • http://do##.onefast.cc/cfg/cmc/b2.txt
  • http://11#.#29.100.93/report.php?da##############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/cmc/qzpass.txt
  • http://42.##2.127.146/report/report_data?da######################################################################################################################################################...
  • http://do##.onefast.cc/cfg/cmc/wea.txt
  • http://do##.onefast.cc/cfg/cmc/slfdm.txt
  • http://do##.onefast.cc/pgm/mds/52408051d2c341e5/3fd88158fb5b2ae009bb1cdc128287d0567f235842d564fb64.zip
  • http://42.##2.127.146/report.php?ty##############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/pub/ps.json
  • http://do##.onefast.cc/cfg/pub/ms.json
  • http://do##.onefast.cc/cfg/user/c995ec7fd4f57c0d/b746f29ae0e03411.json
  • http://do##.onefast.cc/cfg/cmc/userpq.zip
  • http://do##.onefast.cc/pgm/mds/05631e93ccdb00ee/8f007cd4c25ecb5606bae981ec7957e9ca67c4654af3cd8f64.zip
  • http://do##.onefast.cc/cfg/cmc/chct.txt
UDP
  • DNS ASK 8a#######d8a84c4.vbnm34567.xyz
  • DNS ASK ab###.##ooth.a2a147a9.top
  • DNS ASK mp####.hjkl45678.xyz
  • DNS ASK lo#.#nefast.cc
  • DNS ASK cl####.vbnm34567.xyz
  • DNS ASK nm#####.hjkl45678.xyz
  • DNS ASK ap##.#ame.qq.com
  • DNS ASK cd########yz.slt.sched.tdnsv8.com
  • DNS ASK do##.####ast.cc.cdn.dnsv1.com
  • DNS ASK do##.onefast.cc
  • DNS ASK sp#.#aidu.com
  • '<LOCALNET>.84.171':49765
  • '<LOCALNET>.84.175':33505
  • '<LOCALNET>.84.174':37568
  • '<LOCALNET>.84.173':57895
  • '<LOCALNET>.84.172':61958
  • '<LOCALNET>.84.170':53828
  • '<LOCALNET>.84.165':45520
  • '<LOCALNET>.84.168':24701
  • '<LOCALNET>.84.167':37266
  • '<LOCALNET>.84.166':33203
  • '<LOCALNET>.84.176':45698
  • '<LOCALNET>.84.164':41457
  • '<LOCALNET>.84.169':28764
  • '<LOCALNET>.84.161':61780
  • '<LOCALNET>.84.182':57912
  • '<LOCALNET>.84.179':17261
  • '<LOCALNET>.84.180':49786
  • '<LOCALNET>.84.181':53851
  • '<LOCALNET>.84.162':49463
  • '<LOCALNET>.84.183':61977
  • '<LOCALNET>.84.184':33534
  • '<LOCALNET>.84.185':37599
  • '<LOCALNET>.84.186':41660
  • '<LOCALNET>.84.187':45725
  • '<LOCALNET>.84.188':17266
  • '<LOCALNET>.84.189':21331
  • '<LOCALNET>.84.190':61771
  • '<LOCALNET>.84.163':53526
  • '<LOCALNET>.84.177':41635
  • '<LOCALNET>.84.160':57717
  • '<LOCALNET>.84.158':13614
  • '<LOCALNET>.84.147':63472
  • '<LOCALNET>.84.133':12003
  • '<LOCALNET>.84.134':24068
  • '<LOCALNET>.84.135':20005
  • '<LOCALNET>.84.136':32326
  • '<LOCALNET>.84.137':28263
  • '<LOCALNET>.84.138':40840
  • '<LOCALNET>.84.139':36777
  • '<LOCALNET>.84.140':34583
  • '<LOCALNET>.84.141':38710
  • '<LOCALNET>.84.142':42837
  • '<LOCALNET>.84.143':46964
  • '<LOCALNET>.84.144':51091
  • '<LOCALNET>.84.191':57706
  • '23#.#23.112.211':44838
  • '<LOCALNET>.84.132':16066
  • '<LOCALNET>.84.148':11668
  • '<LOCALNET>.84.149':15795
  • '<LOCALNET>.84.150':46118
  • '<LOCALNET>.84.151':41991
  • '<LOCALNET>.84.152':37988
  • '<LOCALNET>.84.153':33861
  • '<LOCALNET>.84.154':62626
  • '<LOCALNET>.84.155':58499
  • '<LOCALNET>.84.156':54496
  • '<LOCALNET>.84.157':50369
  • '<LOCALNET>.84.178':21324
  • '<LOCALNET>.84.159':19588
  • '<LOCALNET>.84.146':59345
  • '<LOCALNET>.84.145':55218
  • '<LOCALNET>.84.130':17909
  • '<LOCALNET>.84.198':28739
  • '<LOCALNET>.84.227':11131
  • '<LOCALNET>.84.228':62953
  • '<LOCALNET>.84.229':58824
  • '<LOCALNET>.84.230':18384
  • '<LOCALNET>.84.231':22513
  • '<LOCALNET>.84.232':26514
  • '<LOCALNET>.84.233':30643
  • '<LOCALNET>.84.234':11977
  • '<LOCALNET>.84.235':16106
  • '<LOCALNET>.84.236':20107
  • '<LOCALNET>.84.237':14135
  • '<LOCALNET>.84.238':50904
  • '<LOCALNET>.84.239':55033
  • '<LOCALNET>.84.226':15260
  • '<LOCALNET>.84.193':49448
  • '<LOCALNET>.84.225':19385
  • '<LOCALNET>.84.243':60964
  • '<LOCALNET>.84.244':40643
  • '<LOCALNET>.84.245':36578
  • '<LOCALNET>.84.246':48769
  • '<LOCALNET>.84.247':44704
  • '<LOCALNET>.84.248':24399
  • '<LOCALNET>.84.249':20334
  • '<LOCALNET>.84.250':60790
  • '<LOCALNET>.84.251':64855
  • '<LOCALNET>.84.252':52532
  • '<LOCALNET>.84.253':56597
  • '<LOCALNET>.84.254':44530
  • '<LOCALNET>.84.241':52838
  • '<LOCALNET>.84.240':56903
  • '<LOCALNET>.84.192':53513
  • '<LOCALNET>.84.223':17538
  • '<LOCALNET>.84.210':18727
  • '<LOCALNET>.84.196':37261
  • '<LOCALNET>.84.197':33196
  • '<LOCALNET>.84.194':45519
  • '<LOCALNET>.84.199':24674
  • '<LOCALNET>.84.200':14840
  • '<LOCALNET>.84.201':10775
  • '<LOCALNET>.84.202':12993
  • '<LOCALNET>.84.203':19029
  • '<LOCALNET>.84.204':20999
  • '<LOCALNET>.84.205':16934
  • '<LOCALNET>.84.206':29253
  • '<LOCALNET>.84.207':25188
  • '<LOCALNET>.84.224':13413
  • '<LOCALNET>.84.131':13846
  • '<LOCALNET>.84.195':41454
  • '<LOCALNET>.84.211':12691
  • '<LOCALNET>.84.212':10597
  • '<LOCALNET>.84.213':14662
  • '<LOCALNET>.84.214':24886
  • '<LOCALNET>.84.215':28951
  • '<LOCALNET>.84.216':16756
  • '<LOCALNET>.84.217':20821
  • '<LOCALNET>.84.218':41146
  • '<LOCALNET>.84.219':45211
  • '<LOCALNET>.84.220':29921
  • '<LOCALNET>.84.129':48280
  • '<LOCALNET>.84.222':21667
  • '<LOCALNET>.84.209':33706
  • '<LOCALNET>.84.208':37771
  • '<LOCALNET>.84.221':25792
  • '<LOCALNET>.84.125':32020
  • '<LOCALNET>.84.114':14438
  • '<LOCALNET>.84.35':24409
  • '<LOCALNET>.84.36':28474
  • '<LOCALNET>.84.37':32539
  • '<LOCALNET>.84.38':36596
  • '<LOCALNET>.84.39':40661
  • '<LOCALNET>.84.40':38507
  • '<LOCALNET>.84.41':34378
  • '<LOCALNET>.84.42':46633
  • '<LOCALNET>.84.43':42504
  • '<LOCALNET>.84.44':55023
  • '<LOCALNET>.84.45':50894
  • '<LOCALNET>.84.46':63149
  • '<LOCALNET>.84.33':16287
  • '<LOCALNET>.84.62':53323
  • '<LOCALNET>.84.32':12222
  • '<LOCALNET>.84.50':42330
  • '<LOCALNET>.84.51':46459
  • '<LOCALNET>.84.52':34072
  • '<LOCALNET>.84.53':38201
  • '<LOCALNET>.84.54':58846
  • '<LOCALNET>.84.55':62975
  • '<LOCALNET>.84.56':50588
  • '<LOCALNET>.84.57':54717
  • '<LOCALNET>.84.58':19399
  • '<LOCALNET>.84.59':13427
  • '<LOCALNET>.84.63':49258
  • '<LOCALNET>.84.61':57384
  • '<LOCALNET>.84.48':16088
  • '<LOCALNET>.84.47':59020
  • '<LOCALNET>.84.49':11959
  • '<LOCALNET>.84.60':61449
  • '<LOCALNET>.84.16':12493
  • '<LOCALNET>.84.9':13038
  • '<LOCALNET>.84.13':23037
  • '<LOCALNET>.84.12':18908
  • '<LOCALNET>.84.11':31167
  • '<LOCALNET>.84.10':27038
  • '<LOCALNET>.84.8':17101
  • '<LOCALNET>.84.3':43571
  • '<LOCALNET>.84.6':64150
  • '<LOCALNET>.84.5':51957
  • '<LOCALNET>.84.4':56020
  • '<LOCALNET>.84.31':18258
  • '<LOCALNET>.84.2':47634
  • '<LOCALNET>.84.7':60087
  • '<LOCALNET>.84.30':14193
  • '<LOCALNET>.84.14':10522
  • '<LOCALNET>.84.17':16622
  • '<LOCALNET>.84.18':59542
  • '<LOCALNET>.84.19':63671
  • '<LOCALNET>.84.1':35441
  • '<LOCALNET>.84.22':17412
  • '<LOCALNET>.84.23':13347
  • '<LOCALNET>.84.24':31817
  • '<LOCALNET>.84.25':27752
  • '<LOCALNET>.84.26':23563
  • '<LOCALNET>.84.27':19498
  • '<LOCALNET>.84.28':48581
  • '<LOCALNET>.84.29':44516
  • '<LOCALNET>.84.15':14651
  • '<LOCALNET>.84.21':11500
  • '<LOCALNET>.84.128':44217
  • '<LOCALNET>.84.64':45197
  • '<LOCALNET>.84.99':28958
  • '<LOCALNET>.84.100':19411
  • '<LOCALNET>.84.101':23538
  • '<LOCALNET>.84.34':20344
  • '<LOCALNET>.84.103':31664
  • '<LOCALNET>.84.104':13004
  • '<LOCALNET>.84.105':17131
  • '<LOCALNET>.84.106':11029
  • '<LOCALNET>.84.107':15156
  • '<LOCALNET>.84.108':51931
  • '<LOCALNET>.84.109':56058
  • '<LOCALNET>.84.110':30946
  • '<LOCALNET>.84.111':26819
  • '<LOCALNET>.84.98':24895
  • '<LOCALNET>.84.97':37072
  • '<LOCALNET>.84.96':33009
  • '<LOCALNET>.84.115':10311
  • '<LOCALNET>.84.116':16281
  • '<LOCALNET>.84.117':12154
  • '<LOCALNET>.84.118':63978
  • '<LOCALNET>.84.119':59851
  • '<LOCALNET>.84.120':11697
  • '<LOCALNET>.84.121':15760
  • '<LOCALNET>.84.122':13672
  • '<LOCALNET>.84.123':17735
  • '<LOCALNET>.84.124':27957
  • '<LOCALNET>.84.242':65029
  • '<LOCALNET>.84.126':19831
  • '<LOCALNET>.84.113':18561
  • '<LOCALNET>.84.112':22688
  • '<LOCALNET>.84.102':27537
  • '<LOCALNET>.84.95':45202
  • '<LOCALNET>.84.81':49959
  • '<LOCALNET>.84.67':33006
  • '<LOCALNET>.84.68':28929
  • '<LOCALNET>.84.69':24864
  • '<LOCALNET>.84.70':49976
  • '<LOCALNET>.84.71':54041
  • '<LOCALNET>.84.72':58234
  • '<LOCALNET>.84.73':62299
  • '<LOCALNET>.84.74':33724
  • '<LOCALNET>.84.75':37789
  • '<LOCALNET>.84.76':41982
  • '<LOCALNET>.84.77':46047
  • '<LOCALNET>.84.78':16944
  • '<LOCALNET>.84.79':21009
  • '<LOCALNET>.84.65':41132
  • '<LOCALNET>.84.66':37071
  • '<LOCALNET>.84.82':62276
  • '<LOCALNET>.84.83':58213
  • '<LOCALNET>.84.84':37762
  • '<LOCALNET>.84.85':33699
  • '<LOCALNET>.84.86':46016
  • '<LOCALNET>.84.87':41953
  • '<LOCALNET>.84.88':21006
  • '<LOCALNET>.84.89':16943
  • '<LOCALNET>.84.90':57399
  • '<LOCALNET>.84.91':61462
  • '<LOCALNET>.84.92':49269
  • '<LOCALNET>.84.93':53332
  • '<LOCALNET>.84.94':41139
  • '<LOCALNET>.84.80':54022
  • '<LOCALNET>.84.127':23894
Другое
Добавляет корневой сертификат
Ищет следующие окна
  • ClassName: 'ProgMan' WindowName: ''
  • ClassName: 'SHELLDLL_DefView' WindowName: ''
  • ClassName: 'SysListView32' WindowName: ''
  • ClassName: 'Dwm' WindowName: 'DWM Notification Window'
Создает и запускает на исполнение
  • '%WINDIR%\7ed5e\csrss.exe'
  • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Полный путь к файлу>"' (со скрытым окном)
  • '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
Запускает на исполнение
  • '<SYSTEM32>\ipconfig.exe' /flushdns
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\explorer.exe"
  • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Полный путь к файлу>"
  • '%WINDIR%\syswow64\timeout.exe' /t 1
  • '<SYSTEM32>\ocsetup.exe'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке