Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск
Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

KZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.RevetRat.31

Добавлен в вирусную базу Dr.Web: 2018-06-14

Описание добавлено:

Technical Information

To ensure autorun and distribution
Creates the following files on removable media
  • <Drive name for removable media>:\correct.avi
  • <Drive name for removable media>:\join.avi
  • <Drive name for removable media>:\archer.avi
Malicious functions
Injects code into
the following system processes:
  • %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Modifies file system
Creates the following files
  • %TEMP%\nwfrtnhui.txt
  • %TEMP%\3dcu0pal.0.vb
  • C:\documents and settings.exe
  • %WINDIR%\syswow64\win32nt.exe
  • %TEMP%\res89ed.tmp
  • %TEMP%\vbc453ae71f4924449b789469a9b4bfd1.tmp
  • %TEMP%\vbc4a34d05dc27e490b8f3978f75d7ef329.tmp
  • %TEMP%\qivlxa5i.out
  • %TEMP%\qivlxa5i.cmdline
  • %TEMP%\3dcu0pal.cmdline
  • %TEMP%\qivlxa5i.0.vb
  • %TEMP%\res8308.tmp
  • %TEMP%\vbc48f92445885b4fb380fb7a31cc993bde.tmp
  • %TEMP%\vbc2f647383412346cfa0396417e7fd1925.tmp
  • %TEMP%\1iwb3mki.out
  • %TEMP%\1iwb3mki.cmdline
  • %TEMP%\1iwb3mki.0.vb
  • %PROGRAMDATA%\system\dowruug.ico
  • C:\system\win32nt.exe
  • C:\$recycle.bin.exe
  • %TEMP%\3dcu0pal.out
Sets the 'hidden' attribute to the following files
  • C:\system\win32nt.exe
Deletes the following files
  • %TEMP%\res8308.tmp
  • %TEMP%\vbc48f92445885b4fb380fb7a31cc993bde.tmp
  • %TEMP%\vbc2f647383412346cfa0396417e7fd1925.tmp
  • %TEMP%\1iwb3mki.cmdline
  • %TEMP%\1iwb3mki.0.vb
  • %TEMP%\1iwb3mki.out
  • %TEMP%\res89ed.tmp
  • %TEMP%\vbc453ae71f4924449b789469a9b4bfd1.tmp
  • %TEMP%\vbc4a34d05dc27e490b8f3978f75d7ef329.tmp
  • %TEMP%\qivlxa5i.out
  • %TEMP%\qivlxa5i.0.vb
  • %TEMP%\qivlxa5i.cmdline
  • %TEMP%\3dcu0pal.cmdline
  • %TEMP%\3dcu0pal.0.vb
Network activity
UDP
  • DNS ASK hc#.#yddns.me
Miscellaneous
Creates and executes the following
  • '%WINDIR%\syswow64\win32nt.exe'
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\1iwb3mki.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\k5hx23tz.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES402E.tmp" "%TEMP%\vbcCA084A8C4D647D88E807809BEF4D1D.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\rlbfqwx0.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3A90.tmp" "%TEMP%\vbc4CD0211C27DA43FA83B05B9FE981D957.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\dmnmyx2q.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES384E.tmp" "%TEMP%\vbcB65932F5396D4744B3A6DC2D4EEABC6.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\iztm32es.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES363B.tmp" "%TEMP%\vbcD1B44E3540594172BAD25219FFC14411.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\lzrpgtwz.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES337C.tmp" "%TEMP%\vbc13AA5E4C402413E99E2C87AEB84F58.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\p4uomgd2.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES30CC.tmp" "%TEMP%\vbc5C526AD1F7444106B318152122AC137F.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\hkiv1dkd.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2DEE.tmp" "%TEMP%\vbcA2C62C90D16C475F9D82629964E7C6CB.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\rmh24pz5.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\3dcu0pal.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES89ED.tmp" "%TEMP%\vbc453AE71F4924449B789469A9B4BFD1.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\qivlxa5i.cmdline"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES8308.tmp" "%TEMP%\vbc48F92445885B4FB380FB7A31CC993BDE.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES43E7.tmp" "%TEMP%\vbc6CCA5448D0D943C3AD16E1E1E33B32.TMP"' (with hidden window)
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\5bwg44zs.cmdline"' (with hidden window)
Executes the following
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\k5hx23tz.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES402E.tmp" "%TEMP%\vbcCA084A8C4D647D88E807809BEF4D1D.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\rlbfqwx0.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3A90.tmp" "%TEMP%\vbc4CD0211C27DA43FA83B05B9FE981D957.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\dmnmyx2q.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES384E.tmp" "%TEMP%\vbcB65932F5396D4744B3A6DC2D4EEABC6.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\iztm32es.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES363B.tmp" "%TEMP%\vbcD1B44E3540594172BAD25219FFC14411.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\lzrpgtwz.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES43E7.tmp" "%TEMP%\vbc6CCA5448D0D943C3AD16E1E1E33B32.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES337C.tmp" "%TEMP%\vbc13AA5E4C402413E99E2C87AEB84F58.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES30CC.tmp" "%TEMP%\vbc5C526AD1F7444106B318152122AC137F.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\hkiv1dkd.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2DEE.tmp" "%TEMP%\vbcA2C62C90D16C475F9D82629964E7C6CB.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\rmh24pz5.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\3dcu0pal.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES89ED.tmp" "%TEMP%\vbc453AE71F4924449B789469A9B4BFD1.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\qivlxa5i.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES8308.tmp" "%TEMP%\vbc48F92445885B4FB380FB7A31CC993BDE.TMP"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\1iwb3mki.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\p4uomgd2.cmdline"
  • '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\5bwg44zs.cmdline"

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play