Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.PcClient.6599

Добавлен в вирусную базу Dr.Web: 2017-07-28

Описание добавлено:

Technical Information

To ensure autorun and distribution
Sets the following service settings
  • [<HKLM>\System\CurrentControlSet\Services\netipstart] 'Start' = '00000002'
  • [<HKLM>\System\CurrentControlSet\Services\netipstart] 'ImagePath' = '%WINDIR%\spoolsv.exe'
  • [<HKLM>\System\CurrentControlSet\Services\PolicyAgent] 'Start' = '00000002'
Creates the following services
  • 'netipstart' %WINDIR%\spoolsv.exe
Malicious functions
Executes the following
  • '%WINDIR%\syswow64\net.exe' stop DhcF
  • '%WINDIR%\syswow64\net.exe' stop "Application Managements"
  • '%WINDIR%\syswow64\net.exe' stop ".NET Runtime Optimization Service"
  • '%WINDIR%\syswow64\taskkill.exe' /f /im schost.exe
  • '%WINDIR%\syswow64\taskkill.exe' /f /im svhost.exe
  • '%WINDIR%\syswow64\taskkill.exe' /f /im win32.exe
  • '%WINDIR%\syswow64\taskkill.exe' /f /im window.exe
  • '%WINDIR%\syswow64\taskkill.exe' /f /im taskmgrs.exe
  • '%WINDIR%\syswow64\taskkill.exe' /f /im taskmgr.exe
Modifies file system
Creates the following files
  • %WINDIR%\install.vbs
  • %WINDIR%\cls.bat
  • %WINDIR%\spoolsvs.exe
  • %WINDIR%\windowss.exe
  • %TEMP%\hz~869.tmp.bat
  • nul
  • %WINDIR%\null
Sets the 'hidden' attribute to the following files
  • %WINDIR%\spoolsv.exe
  • %WINDIR%\taskngr.exe
Deletes the following files
  • %WINDIR%\install.vbs
Moves the following files
  • from %WINDIR%\spoolsvs.exe to %WINDIR%\spoolsv.exe
  • from %WINDIR%\windowss.exe to %WINDIR%\taskngr.exe
Deletes itself.
Network activity
Connects to
  • 'x.##o01.com':1454
TCP
Other
  • 'x.##o01.com':1454
UDP
  • DNS ASK x.##o01.com
Miscellaneous
Searches for the following windows
  • ClassName: '' WindowName: ''
Creates and executes the following
  • '%WINDIR%\syswow64\wscript.exe' "%WINDIR%\install.vbs"
  • '%WINDIR%\spoolsv.exe' install netipstart %WINDIR%\taskngr.exe
  • '%WINDIR%\spoolsv.exe' set netipstart AppParameters "-t 1"
  • '%WINDIR%\spoolsv.exe' start netipstart
  • '%WINDIR%\spoolsv.exe'
  • '%WINDIR%\taskngr.exe' -t 1
  • '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\HZ~869.tmp.bat"' (with hidden window)
  • '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\cls.bat" "' (with hidden window)
Executes the following
  • '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\HZ~869.tmp.bat"
  • '%WINDIR%\syswow64\netsh.exe' ipsec static set policy name=win assign=y
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filteraction name=deny action=block
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filteraction name=Allow action=permit
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filterlist name=denylist
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add filterlist name=Allowlist
  • '%WINDIR%\syswow64\netsh.exe' ipsec static add policy name=win
  • '%WINDIR%\syswow64\attrib.exe' +s +h taskngr.exe
  • '%WINDIR%\syswow64\attrib.exe' +s +h spoolsv.exe
  • '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 5
  • '%WINDIR%\syswow64\sc.exe' delete ".NET Runtime Optimization Service"
  • '%WINDIR%\syswow64\net1.exe' stop ".NET Runtime Optimization Service"
  • '%WINDIR%\syswow64\sc.exe' delete "Application Managements"
  • '%WINDIR%\syswow64\net1.exe' stop "Application Managements"
  • '%WINDIR%\syswow64\sc.exe' delete DhcF
  • '%WINDIR%\syswow64\net1.exe' stop DhcF
  • '%WINDIR%\syswow64\attrib.exe' -s -h taskmgrs.exe
  • '%WINDIR%\syswow64\attrib.exe' -s -h taskmgr.exe
  • '%WINDIR%\syswow64\attrib.exe' -s -h window.exe
  • '%WINDIR%\syswow64\attrib.exe' -s -h win32.exe
  • '%WINDIR%\syswow64\attrib.exe' -s -h spoolsv.exe
  • '%WINDIR%\syswow64\sc.exe' QUERY netipstart
  • '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\cls.bat" "
  • '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 2
  • '%WINDIR%\syswow64\cmd.exe' /S /D /c" ver "
  • '%WINDIR%\syswow64\find.exe' "5.1."

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке