Защити созданное

Другие наши ресурсы

  • free.drweb.uz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.uz — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.uz/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

UZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Advload.744

Добавлен в вирусную базу Dr.Web: 2014-12-07

Описание добавлено:

Technical Information

To ensure autorun and distribution
Modifies the following registry keys
  • [<HKLM>\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = '{43,3a,5c,57,69,6e,64,6f,77,73,5c,73,79,73,74,65,6d,33,32,5c...
  • [<HKLM>\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = '{43,3a,5c,57,69,6e,64,6f,77,73,5c,73,79,73,74,65,6d,33,32,5c...
  • [<HKLM>\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = '{43,3a,5c,57,69,6e,64,6f,77,73,5c,73,79,73,74,65,6d,33,32,5c...
  • [<HKLM>\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = '{43,3a,5c,57,69,6e,64,6f,77,73,5c,73,79,73,74,65,6d,33,32,5c...
  • [<HKLM>\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = '{43,3a,5c,57,69,6e,64,6f,77,73,5c,73,79,73,74,65,6d,33,32,5c...
Malicious functions
Sets a new unauthorized home page for Windows Internet Explorer.
Modifies file system
Creates the following files
  • C:\yw\ckh.exe
  • <Current directory>\espi11.dll
  • %WINDIR%\syswow64\espi11.dll
  • %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012020090620200907\index.dat
Deletes the following files
  • <Current directory>\espi11.dll
Network activity
TCP
HTTP GET requests
  • http://cf.##p321.cn/st/youqinglianjie.html
  • http://p7.##img.com/d/dy_9c998af21dbac683dd4b7d2f6b9918d3.jpg
  • http://i.##img.cn/qqlive/images/newcolumn/v1/v/vydh2k.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/6728/6728.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b3061bf649f0.jpg
  • http://mo#####c.manmankan.com/yybpic/201606/6220/6220.jpg
  • http://p2.##img.com/d/dy_19f89860f05940ad8903438d7e175b54.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b3061a1e8215.jpg
  • http://cf.##p321.cn/uploads//uploads//Public/images/no.png
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b30614782fe0.
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b30613fea71a.jpg
  • http://p0.##img.com/d/dy_6507ea1854105531e027e022aa3f5260.
  • http://p0.##img.com/d/dy_0cb2be894e7d712c7382a7347b013b9a.jpg
  • http://p9.##img.com/d/dy_f8d56b060149d229493ea72e6a34ac04.
  • http://p9.##img.com/d/dy_bd076cb9d72be71082bf0abb1d296cf7.jpg
  • http://p3.##img.com/d/dy_93166c426586e59fa2bbad027cb15aa0.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b30bb5eaaa7b.jpg
  • http://im###4.2345.com/dypcimg/zongyi/img/3/9/sup29157_223x310.jpg
  • http://p5.##img.com/d/dy_06d047461ef9230ad264ff1a3c7df226.
  • http://ya####ng.97bike.com/tv/anhui.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b306198b728d.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/6911/6911.jpg
  • http://mo#####c.manmankan.com/yybpic/201709/11268/11268.jpg
  • http://im###3.2345.com/dypcimg/dongman/img/4/26/sup78112_223x310.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b3061c8c8229.jpg
  • http://cf.##p321.cn/uploads//uploads/vod/2017-10-04/59d4ba80b1477.jpg
  • http://ia.#1.la/go1?id###########################################################################################################################################################################...
  • http://mo#####c.manmankan.com/yybpic/201607/7015/7015.jpg
  • http://cf.##p321.cn/favicon.ico
  • http://js.##ers.51.la/20463355.js
  • http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
  • http://cr#.##gicert-cn.com/DigiCertGlobalRootCA.crl
  • http://oc##.##gicert-cn.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSAUQYBMq2awn1Rh6Doh%2FsBYgFV7gQUA95QNVbRTLtm8KPiGxvDl7I90VUCEAXR%2FFkuct0c0CPNGBjapx8%3D
  • http://mo#####c.manmankan.com/yybpic/201607/6718/6718.jpg
  • http://t3.##idu.com/it/u=1078764805,2483991184&fm=20.jpg
  • http://mo#####c.manmankan.com/yybpic/201606/6219/6219.jpg
  • http://mo#####c.manmankan.com/yybpic/201605/6191/6191.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/7038/7038.jpg
  • http://pi##.#iyipic.com/image/20170822/8d/16/a_100057959_m_601_m8_195_260.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/7017/7017.jpg
  • http://mo#####c.manmankan.com/yybpic/201803/13726/13726.jpg
  • http://mo#####c.manmankan.com/yybpic/201804/13948/13948.jpg
  • http://t1.##idu.com/it/u=4041474068,3042324922&fm=20.jpg
  • http://t1.##idu.com/it/u=524289472,2273794961&fm=20.jpg
  • http://mo#####c.manmankan.com/yybpic/201707/10493/10493.jpg
  • http://mo#####c.manmankan.com/yybpic/201710/11996/11996.jpg
  • http://mo#####c.manmankan.com/yybpic/201608/7105/7105.jpg
  • http://vo####.xiaodutv.com/c64346ad8b03aa17ded39174f047c0ac.jpg
  • http://im###1.2345.com/dypcimg/zongyi/img/e/12/sup38914_223x310.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/7016/7016.jpg
  • http://im###1.2345.com/dypcimg/zongyi/img/6/10/sup30264_223x310.jpg
  • http://im###2.2345.com/dypcimg/zongyi/img/3/6/sup20461_223x310.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b30bb546b9d5.jpg
  • http://p8.##img.com/d/dy_d1d082c68809358c564b9146152e1909.jpg
  • http://mo#####c.manmankan.com/yybpic/201712/12791/12791.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/7019/7019.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/7039/7039.jpg
  • http://cf.##p321.cn/tpl/zanpian/images/180x239.jpg
  • http://cf.##p321.cn/tpl/admin/new.gif
  • http://cf.##p321.cn/uploads/slide/2018-05-16/f583c3e07625f52569ba1fe256c98092.jpg
  • http://cf.##p321.cn/uploads/slide/2018-06-23/4dc072b898bd994015f755fecf83ab2b.jpg
  • http://cf.##p321.cn/tpl/zanpian/css/index.css
  • http://cf.##p321.cn/upload/2/3542/56109189.jpg
  • http://cf.##p321.cn/abee/napiandy004/images/plus.png
  • http://cf.##p321.cn/abee/napiandy004/images/logo.gif
  • http://cf.##p321.cn/
  • http://cf.##p321.cn/abee/napiandy004/images/search.png
  • http://cf.##p321.cn/upload/4/3872/36195363.jpg
  • http://cf.##p321.cn/upload/1/2421/61853825.jpg
  • http://cf.##p321.cn/upload/5/2265/69312217.jpg
  • http://im#.##ai.xunlei.com/js/webxunlei.js
  • http://cf.##p321.cn/upload/1/425/31045529.jpg
  • http://cf.##p321.cn/upload/1/2242/86884084.jpg
  • http://cf.##p321.cn/st/abee/napiandy004/xl/urlconvent.js
  • http://cf.##p321.cn/st/abee/napiandy004/xl/xunlei_3.js
  • http://cf.##p321.cn/st/abee/napiandy004/xl/down.css
  • http://cf.##p321.cn/abee/napiandy004/css/style.css
  • http://www.23##.com/?27###
  • http://mo#####c.manmankan.com/yybpic/201604/5686/5686.jpg
  • http://ya####ng.97bike.com/tv/hunan.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b3061e70730e.jpg
  • http://ya####ng.97bike.com/tv/zhejiang.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b3061d20b0d9.jpg
  • http://ph#####n.tv.sohu.com/img/20180927/vrs_1538038230753_106553937_6jLev_pic3.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b3061b25d592.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b3060f2ede36.jpg
  • http://cf.##p321.cn/uploads/slide/2018-06-24/7381e43ba524ebf9e9990727359ab3a8.jpg
  • http://im###2.2345.com/dypcimg/dongman/img/9/0/sup2401_223x310.jpg
  • http://p1.##img.com/d/dy_342c15da124bfbda12ccb08b00d9085f.
  • http://ya####ng.97bike.com/tv/shengzheng.jpg
  • http://p6.##img.com/d/dy_3105268dafa51cec2c83c8ab61f13fb5.jpg
  • http://p1.##img.com/d/dy_44ba2493d14d14399c758075761aff03.jpg
  • http://p6.##img.com/d/dy_fd63c4ddd252222242fac29ca4fd754a.
  • http://cf.##p321.cn/uploads/slide/2018-05-16/41a22b2301552a1f07e20d1dfff43fd7.jpg
  • http://cf.##p321.cn/tpl/zanpian/images/220x146.jpg
  • http://p5.##img.com/d/dy_5d42d9d163a7b1c8a31ca20c80ddd466.jpg
  • http://p5.##img.com/d/dy_1329ea79ec53a398fbbf3a74ac9fa17b.
  • http://ww#.#inaimg.cn/large/005wBwV6gy1fv6zsymfr8j30x20beadj.jpg
  • http://pu##.qpic.cn/vcover_vt_pic/0/om20ew13iorry1x1538191477/0.jpg
  • http://p6.##img.com/d/dy_a0e74d797a044f46d44641b7504dd4a6.jpg
  • http://pu##.qpic.cn/vcover_vt_pic/0/gakoshshys2i1c01537846318/0.jpg
  • http://p6.##img.com/d/dy_e80217bbb6a2d7ecc897e81d978a3550.jpg
  • http://cf.##p321.cn/uploads/vod/2018-06-25/5b306191252a4.jpg
  • http://ya####ng.97bike.com/tv/guangdong.jpg
  • http://ya####ng.97bike.com/tv/jiangshu.jpg
  • http://mo#####c.manmankan.com/yybpic/201607/6893/6893.jpg
  • http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
  • '23##.com':443
  • 'js.##ers.51.la':443
  • 'v1.#nzz.com':443
  • 'hm.##idu.com':443
    • UDP
    • DNS ASK ip.#q.com
    • DNS ASK p3.##img.com
    • DNS ASK i.##img.cn
    • DNS ASK t1.##idu.com
    • DNS ASK p9.##img.com
    • DNS ASK p0.##img.com
    • DNS ASK vo####.xiaodutv.com
    • DNS ASK im###4.2345.com
    • DNS ASK ia.#1.la
    • DNS ASK pi##.#iyipic.com
    • DNS ASK im###1.2345.com
    • DNS ASK t3.##idu.com
    • DNS ASK oc##.##gicert-cn.com
    • DNS ASK cr#.##gicert-cn.com
    • DNS ASK microsoft.com
    • DNS ASK im###3.2345.com
    • DNS ASK p2.##img.com
    • DNS ASK im###2.2345.com
    • DNS ASK ww#.#inaimg.cn
    • DNS ASK cf.##p321.cn
    • DNS ASK 23##.com
    • DNS ASK im#.##ai.xunlei.com
    • DNS ASK v1.#nzz.com
    • DNS ASK js.##ers.51.la
    • DNS ASK hm.##idu.com
    • DNS ASK mo#####c.manmankan.com
    • DNS ASK ph#####n.tv.sohu.com
    • DNS ASK ya####ng.97bike.com
    • DNS ASK p7.##img.com
    • DNS ASK p6.##img.com
    • DNS ASK pu##.qpic.cn
    • DNS ASK p5.##img.com
    • DNS ASK p1.##img.com
    • DNS ASK p8.##img.com
    • DNS ASK oc##.#tartssl.com
    Miscellaneous
    Searches for the following windows
    • ClassName: '' WindowName: 'Microsoft Internet Explorer'
    • ClassName: 'DDEMLMom' WindowName: ''
    • ClassName: 'IEFrame' WindowName: ''
    • ClassName: 'MS_AutodialMonitor' WindowName: ''
    • ClassName: 'MS_WebCheckMonitor' WindowName: ''
    • ClassName: 'Static' WindowName: ''
    Executes the following
    • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Full path to file>"

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Демо бесплатно

     

    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    Демо бесплатно

     

    Скачать Dr.Web

    По серийному номеру

    Скачать Dr.Web с Apple Store

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Демо бесплатно

     

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке

    Скачать с сайта
    Скачать с Google Play