Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск
Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

KZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.KeyLogger.18958

Добавлен в вирусную базу Dr.Web: 2013-04-20

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'exploer' = '<SYSTEM32>\exploer.exe'
Вредоносные функции:
Создает и запускает на исполнение:
  • '<SYSTEM32>\exploer.exe'
  • '%TEMP%\RarSFX0\rinst.exe'
Запускает на исполнение:
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\zom.jpg
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
  • Библиотека-обработчик для всех процессов: <SYSTEM32>\exploerhk.dll
Ищет следующие окна с целью
обнаружения утилит для анализа:
  • ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'RegmonClass' WindowName: ''
  • ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'FilemonClass' WindowName: ''
  • ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
  • <SYSTEM32>\dt\2013-04-16_22-40-55-274843
  • <SYSTEM32>\dt\2013-04-16_22-40-54-273812
  • <SYSTEM32>\dt\2013-04-16_22-40-56-275828
  • <SYSTEM32>\dt\2013-04-16_22-40-58-277875
  • <SYSTEM32>\dt\2013-04-16_22-40-57-276781
  • <SYSTEM32>\dt\2013-04-16_22-40-53-272859
  • <SYSTEM32>\dt\2013-04-16_22-40-46-265921
  • <SYSTEM32>\dt\2013-04-16_22-40-44-264046
  • <SYSTEM32>\dt\2013-04-16_22-40-47-266937
  • <SYSTEM32>\dt\2013-04-16_22-40-51-270890
  • <SYSTEM32>\dt\2013-04-16_22-40-49-268953
  • <SYSTEM32>\dt\2013-04-16_22-41-11-290875
  • <SYSTEM32>\dt\2013-04-16_22-41-10-289812
  • <SYSTEM32>\dt\2013-04-16_22-41-13-292890
  • <SYSTEM32>\dt\2013-04-16_22-41-17-296906
  • <SYSTEM32>\dt\2013-04-16_22-41-15-294921
  • <SYSTEM32>\dt\2013-04-16_22-41-09-288859
  • <SYSTEM32>\dt\2013-04-16_22-41-02-281921
  • <SYSTEM32>\dt\2013-04-16_22-41-00-279859
  • <SYSTEM32>\dt\2013-04-16_22-41-04-283890
  • <SYSTEM32>\dt\2013-04-16_22-41-08-287890
  • <SYSTEM32>\dt\2013-04-16_22-41-06-286468
  • <SYSTEM32>\dt\2013-04-16_22-40-27-246812
  • <SYSTEM32>\dt\2013-04-16_22-40-26-245765
  • <SYSTEM32>\dt\2013-04-16_22-40-28-247734
  • <SYSTEM32>\dt\2013-04-16_22-40-30-249875
  • <SYSTEM32>\dt\2013-04-16_22-40-29-248718
  • <SYSTEM32>\dt\2013-04-16_22-40-25-244765
  • <SYSTEM32>\dt\2013-04-16_22-40-21-240828
  • <SYSTEM32>\dt\2013-04-16_22-40-20-239843
  • <SYSTEM32>\dt\2013-04-16_22-40-22-241750
  • <SYSTEM32>\dt\2013-04-16_22-40-24-243765
  • <SYSTEM32>\dt\2013-04-16_22-40-23-242750
  • <SYSTEM32>\dt\2013-04-16_22-40-39-258812
  • <SYSTEM32>\dt\2013-04-16_22-40-38-257796
  • <SYSTEM32>\dt\2013-04-16_22-40-40-259828
  • <SYSTEM32>\dt\2013-04-16_22-40-43-262937
  • <SYSTEM32>\dt\2013-04-16_22-40-41-260968
  • <SYSTEM32>\dt\2013-04-16_22-40-37-256843
  • <SYSTEM32>\dt\2013-04-16_22-40-33-252843
  • <SYSTEM32>\dt\2013-04-16_22-40-32-251750
  • <SYSTEM32>\dt\2013-04-16_22-40-34-253859
  • <SYSTEM32>\dt\2013-04-16_22-40-36-255781
  • <SYSTEM32>\dt\2013-04-16_22-40-35-254781
  • <SYSTEM32>\dt\2013-04-16_22-41-19-298921
  • <SYSTEM32>\dt\2013-04-16_22-42-13-353000
  • <SYSTEM32>\dt\2013-04-16_22-42-11-350921
  • <SYSTEM32>\dt\2013-04-16_22-42-15-354968
  • <SYSTEM32>\dt\2013-04-16_22-42-19-358968
  • <SYSTEM32>\dt\2013-04-16_22-42-17-356984
  • <SYSTEM32>\dt\2013-04-16_22-42-09-348906
  • <SYSTEM32>\dt\2013-04-16_22-42-02-341968
  • <SYSTEM32>\dt\2013-04-16_22-42-00-339921
  • <SYSTEM32>\dt\2013-04-16_22-42-04-343859
  • <SYSTEM32>\dt\2013-04-16_22-42-07-347093
  • <SYSTEM32>\dt\2013-04-16_22-42-05-344968
  • <SYSTEM32>\dt\2013-04-16_22-42-35-374984
  • <SYSTEM32>\dt\2013-04-16_22-42-33-372968
  • <SYSTEM32>\dt\2013-04-16_22-42-37-376984
  • <SYSTEM32>\dt\2013-04-16_22-42-41-380984
  • <SYSTEM32>\dt\2013-04-16_22-42-39-378984
  • <SYSTEM32>\dt\2013-04-16_22-42-31-370968
  • <SYSTEM32>\dt\2013-04-16_22-42-23-362937
  • <SYSTEM32>\dt\2013-04-16_22-42-21-361046
  • <SYSTEM32>\dt\2013-04-16_22-42-25-364953
  • <SYSTEM32>\dt\2013-04-16_22-42-29-368968
  • <SYSTEM32>\dt\2013-04-16_22-42-27-366984
  • <SYSTEM32>\dt\2013-04-16_22-41-35-315171
  • <SYSTEM32>\dt\2013-04-16_22-41-33-312937
  • <SYSTEM32>\dt\2013-04-16_22-41-37-316968
  • <SYSTEM32>\dt\2013-04-16_22-41-41-320921
  • <SYSTEM32>\dt\2013-04-16_22-41-39-318937
  • <SYSTEM32>\dt\2013-04-16_22-41-31-310906
  • <SYSTEM32>\dt\2013-04-16_22-41-23-302906
  • <SYSTEM32>\dt\2013-04-16_22-41-21-300906
  • <SYSTEM32>\dt\2013-04-16_22-41-25-304921
  • <SYSTEM32>\dt\2013-04-16_22-41-29-308906
  • <SYSTEM32>\dt\2013-04-16_22-41-27-306921
  • <SYSTEM32>\dt\2013-04-16_22-41-53-332859
  • <SYSTEM32>\dt\2013-04-16_22-41-52-331843
  • <SYSTEM32>\dt\2013-04-16_22-41-54-333937
  • <SYSTEM32>\dt\2013-04-16_22-41-58-337968
  • <SYSTEM32>\dt\2013-04-16_22-41-56-335921
  • <SYSTEM32>\dt\2013-04-16_22-41-51-330859
  • <SYSTEM32>\dt\2013-04-16_22-41-45-324953
  • <SYSTEM32>\dt\2013-04-16_22-41-43-322921
  • <SYSTEM32>\dt\2013-04-16_22-41-47-326953
  • <SYSTEM32>\dt\2013-04-16_22-41-50-329843
  • <SYSTEM32>\dt\2013-04-16_22-41-49-328828
  • <SYSTEM32>\dt\2013-04-16_22-39-18-177656
  • <SYSTEM32>\dt\2013-04-16_22-39-17-176656
  • <SYSTEM32>\dt\2013-04-16_22-39-19-178750
  • <SYSTEM32>\dt\2013-04-16_22-39-21-180734
  • <SYSTEM32>\dt\2013-04-16_22-39-20-179718
  • <SYSTEM32>\dt\2013-04-16_22-39-16-175656
  • <SYSTEM32>\dt\2013-04-16_22-39-12-171671
  • <SYSTEM32>\dt\2013-04-16_22-39-11-170687
  • <SYSTEM32>\dt\2013-04-16_22-39-13-172671
  • <SYSTEM32>\dt\2013-04-16_22-39-15-174687
  • <SYSTEM32>\dt\2013-04-16_22-39-14-173703
  • <SYSTEM32>\dt\2013-04-16_22-39-29-188734
  • <SYSTEM32>\dt\2013-04-16_22-39-28-187750
  • <SYSTEM32>\dt\2013-04-16_22-39-30-189765
  • <SYSTEM32>\dt\2013-04-16_22-39-32-191750
  • <SYSTEM32>\dt\2013-04-16_22-39-31-190765
  • <SYSTEM32>\dt\2013-04-16_22-39-27-186718
  • <SYSTEM32>\dt\2013-04-16_22-39-23-182718
  • <SYSTEM32>\dt\2013-04-16_22-39-22-181734
  • <SYSTEM32>\dt\2013-04-16_22-39-24-183734
  • <SYSTEM32>\dt\2013-04-16_22-39-26-185734
  • <SYSTEM32>\dt\2013-04-16_22-39-25-184718
  • %TEMP%\zom.jpg
  • %TEMP%\RarSFX0\zom.jpg
  • <SYSTEM32>\pk.bin
  • <SYSTEM32>\exploerhk.dll
  • <SYSTEM32>\exploer.exe
  • %TEMP%\RarSFX0\rinst.exe
  • %TEMP%\RarSFX0\inst.dat
  • %TEMP%\RarSFX0\pk.bin
  • %TEMP%\RarSFX0\opt.dat
  • %TEMP%\RarSFX0\exploer.exe
  • %TEMP%\RarSFX0\exploerhk.dll
  • <SYSTEM32>\dt\2013-04-16_22-39-07-166687
  • <SYSTEM32>\dt\2013-04-16_22-39-06-165796
  • <SYSTEM32>\dt\2013-04-16_22-39-08-167671
  • <SYSTEM32>\dt\2013-04-16_22-39-10-169828
  • <SYSTEM32>\dt\2013-04-16_22-39-09-168671
  • <SYSTEM32>\temporary.bmp
  • <SYSTEM32>\inst.dat
  • <SYSTEM32>\opt.dat
  • <SYSTEM32>\rinst.exe
  • <SYSTEM32>\pk.bin_back
  • <SYSTEM32>\dt\2013-04-16_22-39-33-192781
  • <SYSTEM32>\dt\2013-04-16_22-40-03-222812
  • <SYSTEM32>\dt\2013-04-16_22-40-02-221796
  • <SYSTEM32>\dt\2013-04-16_22-40-04-223781
  • <SYSTEM32>\dt\2013-04-16_22-40-07-227250
  • <SYSTEM32>\dt\2013-04-16_22-40-05-224984
  • <SYSTEM32>\dt\2013-04-16_22-40-01-220812
  • <SYSTEM32>\dt\2013-04-16_22-39-57-216750
  • <SYSTEM32>\dt\2013-04-16_22-39-56-215796
  • <SYSTEM32>\dt\2013-04-16_22-39-58-217765
  • <SYSTEM32>\dt\2013-04-16_22-40-00-219828
  • <SYSTEM32>\dt\2013-04-16_22-39-59-218812
  • <SYSTEM32>\dt\2013-04-16_22-40-16-235812
  • <SYSTEM32>\dt\2013-04-16_22-40-15-234843
  • <SYSTEM32>\dt\2013-04-16_22-40-17-236796
  • <SYSTEM32>\dt\2013-04-16_22-40-19-238828
  • <SYSTEM32>\dt\2013-04-16_22-40-18-237812
  • <SYSTEM32>\dt\2013-04-16_22-40-14-233796
  • <SYSTEM32>\dt\2013-04-16_22-40-10-229796
  • <SYSTEM32>\dt\2013-04-16_22-40-09-228796
  • <SYSTEM32>\dt\2013-04-16_22-40-11-230812
  • <SYSTEM32>\dt\2013-04-16_22-40-13-232750
  • <SYSTEM32>\dt\2013-04-16_22-40-12-231796
  • <SYSTEM32>\dt\2013-04-16_22-39-41-200765
  • <SYSTEM32>\dt\2013-04-16_22-39-40-199687
  • <SYSTEM32>\dt\2013-04-16_22-39-42-201734
  • <SYSTEM32>\dt\2013-04-16_22-39-44-203734
  • <SYSTEM32>\dt\2013-04-16_22-39-43-202718
  • <SYSTEM32>\dt\2013-04-16_22-39-39-198796
  • <SYSTEM32>\dt\2013-04-16_22-39-35-194750
  • <SYSTEM32>\dt\2013-04-16_22-39-34-193734
  • <SYSTEM32>\dt\2013-04-16_22-39-36-195750
  • <SYSTEM32>\dt\2013-04-16_22-39-38-197765
  • <SYSTEM32>\dt\2013-04-16_22-39-37-196750
  • <SYSTEM32>\dt\2013-04-16_22-39-52-211765
  • <SYSTEM32>\dt\2013-04-16_22-39-51-210765
  • <SYSTEM32>\dt\2013-04-16_22-39-53-212703
  • <SYSTEM32>\dt\2013-04-16_22-39-55-214703
  • <SYSTEM32>\dt\2013-04-16_22-39-54-213750
  • <SYSTEM32>\dt\2013-04-16_22-39-50-209781
  • <SYSTEM32>\dt\2013-04-16_22-39-46-205734
  • <SYSTEM32>\dt\2013-04-16_22-39-45-204781
  • <SYSTEM32>\dt\2013-04-16_22-39-47-206734
  • <SYSTEM32>\dt\2013-04-16_22-39-49-208750
  • <SYSTEM32>\dt\2013-04-16_22-39-48-207703
Удаляет следующие файлы:
  • %TEMP%\RarSFX0\zom.jpg
  • %TEMP%\RarSFX0\rinst.exe
  • <SYSTEM32>\temporary.bmp
  • <SYSTEM32>\pk.bin_back
  • %TEMP%\RarSFX0\inst.dat
  • %TEMP%\RarSFX0\exploer.exe
  • %TEMP%\RarSFX0\pk.bin
  • %TEMP%\RarSFX0\opt.dat
  • %TEMP%\RarSFX0\exploerhk.dll
Перемещает следующие файлы:
  • <SYSTEM32>\rinst.exe в <SYSTEM32>\exploerr.exe
Сетевая активность:
Подключается к:
  • 'sm##.aol.com':25
UDP:
  • DNS ASK sm##.aol.com
Другое:
Ищет следующие окна:
  • ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
  • ClassName: 'Indicator' WindowName: ''
  • ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: '18467-41' WindowName: ''
  • ClassName: '' WindowName: 'PKL Window'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play