Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.

ПОЛЬЗОВАТЕЛЯМ

Закрыть

Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

Все: -
Незакрытые: -
Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

RU CN DE EN ES FR IT JP KZ UZ PL BY

Закрыть

Сервисы

Сканеры

FixIt!

Dr.Web vxCube

Экспертиза ВКИ

Вирусная библиотека

База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Мифы об антивирусах

Новости

Trojan.DownLoader10.31656

Добавлен в вирусную базу Dr.Web: 2013-10-23

Описание добавлено: 2013-10-23

Техническая информация

Вредоносные функции:

Изменяет следующие настройки браузера Windows Internet Explorer:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1803' = '00000003'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'currentlevel' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'

Изменения в файловой системе:

Создает следующие файлы:

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TFLCXXHE\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4TIFOLYN\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\01E701Y3\desktop.ini
%TEMP%\1.tmp
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0G47MHKI\desktop.ini

Присваивает атрибут 'скрытый' для следующих файлов:

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4TIFOLYN\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\01E701Y3\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0G47MHKI\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TFLCXXHE\desktop.ini

Удаляет следующие файлы:

%TEMP%\1.tmp

Самоперемещается:

из <Полный путь к вирусу> в %TEMP%\2.tmp

Сетевая активность:

Подключается к:

're###t-cent.net':80

TCP:

Запросы HTTP GET:

re###t-cent.net/f/25
re###t-cent.net/d/UJTaXGbQMslDtT9xwHeeWGJK%2boHnfn9rJVfVYiU%2fsAtiXbO0ikgFKrPml9DGwgO5dxM%3d/
re###t-cent.net/c/W9OJVCjbMchGsWglwWufWTFH5ICyLS0iJlbRMDkztlg2WrCyxEpVNLOpndWNplLgIU9EMgAGMD8frCESaDVpKdhD9%2birab%2bSYa6ruQeiQasg%2bKjIKP9USBpOyAMhvI4UlBIzsxnUfVoej%2fAio9kIY%2fS4CMHKWOr34MGHevtM6ehI9hGOPDDl/
re###t-cent.net/k/25

UDP:

DNS ASK re###t-cent.net

Другое:

Ищет следующие окна:

ClassName: '(null)' WindowName: 'KRjo Dg WGD'
ClassName: '(null)' WindowName: 'wSf aFtk i '
ClassName: '(null)' WindowName: 'tOqvacwE'
ClassName: '(null)' WindowName: 'MonosTUqdmHh'
ClassName: '(null)' WindowName: 'hdk IVp Hfrvbh'
ClassName: '(null)' WindowName: 'mnHCohlxYlmU'
ClassName: '(null)' WindowName: ' u GY '
ClassName: '(null)' WindowName: 'ShcngUg lP'
ClassName: '(null)' WindowName: 'CdNwW hts'
ClassName: '(null)' WindowName: 'DYZ t StMD'
ClassName: '(null)' WindowName: 'kkthcH'
ClassName: '(null)' WindowName: 'm cieIjVkje'
ClassName: '(null)' WindowName: 'duDaeFl '
ClassName: '(null)' WindowName: 'baqjxWPL'
ClassName: '(null)' WindowName: ' kdDlsJzyp xqo'
ClassName: '(null)' WindowName: 'DUsuyi'
ClassName: '(null)' WindowName: ' t'
ClassName: '(null)' WindowName: 'upxEdvPEPI'
ClassName: '(null)' WindowName: ' h siEQ zqNUq'
ClassName: '(null)' WindowName: 'kAyMyh hdt'
ClassName: '(null)' WindowName: 'aSve'
ClassName: '(null)' WindowName: 'pwhkwDfz nJjoQ nV'
ClassName: '(null)' WindowName: 'xs cQosm'
ClassName: '(null)' WindowName: 'cLgiT e qphnan'
ClassName: '(null)' WindowName: ' shiMpmWuF'
ClassName: '(null)' WindowName: 'Iz hpu'
ClassName: '(null)' WindowName: ' d'
ClassName: '(null)' WindowName: 'NjBgrbvzznmu'
ClassName: '(null)' WindowName: ' wGnVfweVA'
ClassName: '(null)' WindowName: 'Z z'
ClassName: '(null)' WindowName: 'p jk ZBziz'
ClassName: '(null)' WindowName: 'AxUBR'
ClassName: '(null)' WindowName: 'urxgbo'
ClassName: '(null)' WindowName: 'vRGNmo'
ClassName: '(null)' WindowName: 'hKUeiaaJpr'
ClassName: '(null)' WindowName: 'Qycs'
ClassName: '(null)' WindowName: 'k adkqL W'
ClassName: '(null)' WindowName: 'Uooirecv tpL'
ClassName: '(null)' WindowName: 'ZkmkCSIwN'
ClassName: '(null)' WindowName: 'q IWPyrnwn'
ClassName: '(null)' WindowName: ' Oci XjkcsygfC'
ClassName: '(null)' WindowName: 'J TvUEup'
ClassName: '(null)' WindowName: 'n tfTI nbp'
ClassName: '(null)' WindowName: 'fCbGSddhiaVmKc '
ClassName: '(null)' WindowName: 'BDmmoRtYkxfhr'
ClassName: '(null)' WindowName: 'rw k EaNuLl'
ClassName: '(null)' WindowName: 'Xq'
ClassName: '(null)' WindowName: 'l mxjmlL'
ClassName: '(null)' WindowName: 'fX h'
ClassName: '(null)' WindowName: 'oxOtczN mu um I'
ClassName: '(null)' WindowName: 'su wHhh '
ClassName: '(null)' WindowName: 'B dxnsbf'
ClassName: '(null)' WindowName: 'Ejluuwbtt jwNL'
ClassName: '(null)' WindowName: 'aEuGhfpIh aK'
ClassName: '(null)' WindowName: ' HqFFheTfw'
ClassName: '(null)' WindowName: 'mmt ocyfn lObooG'
ClassName: '(null)' WindowName: 'ROZlvdL'
ClassName: '(null)' WindowName: 'tgFVdlnu'
ClassName: '(null)' WindowName: 'BknU t'
ClassName: '(null)' WindowName: 'Uohsw'
ClassName: '(null)' WindowName: ' wuw'
ClassName: '(null)' WindowName: 'i xqfm fm'
ClassName: '(null)' WindowName: 'Vuk nrTsaF'
ClassName: '(null)' WindowName: 'umwzDxgrm'
ClassName: '(null)' WindowName: 'jOi x xSeig'
ClassName: '(null)' WindowName: 'YdWyiqF'
ClassName: '(null)' WindowName: 'lMhsJJp enAx'
ClassName: '(null)' WindowName: 'ppooIjfhp d'
ClassName: '(null)' WindowName: ' MtGrhs'
ClassName: '(null)' WindowName: 'kuk its'
ClassName: '(null)' WindowName: 'ILtCf'
ClassName: '(null)' WindowName: 'lixOJtRE'
ClassName: '(null)' WindowName: ' sd'
ClassName: '(null)' WindowName: 'ghD'
ClassName: '(null)' WindowName: ' fyyY '
ClassName: '(null)' WindowName: 'dpCuQCdw'
ClassName: '(null)' WindowName: ' iJzpoyyTxaV'
ClassName: '(null)' WindowName: 'pfzMEhotvXwdIz zur'
ClassName: '(null)' WindowName: 'O pUqVxmWt'
ClassName: '(null)' WindowName: 'OuzboJef'
ClassName: '(null)' WindowName: ' Gwfvk'
ClassName: '(null)' WindowName: 'kA jqX vgl nkfO'
ClassName: '(null)' WindowName: 'jGLx'
ClassName: '(null)' WindowName: 'yrvrLxEpNmb aPn'
ClassName: '(null)' WindowName: 'mmufz'
ClassName: '(null)' WindowName: 'F Z bv yumj'
ClassName: '(null)' WindowName: 'aiTkl n'
ClassName: '(null)' WindowName: 'HS Bl'

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play