Перейти к содержимому


Фотография
- - - - -

RAT+rootkit

виурс rat rootkit

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 19

#1 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 24 Апрель 2019 - 10:27

Привет. 

Препод подкинул мне в учебных целях вирус через вайфай. Объясню суть: некая интеллектуальная система гуляет по компу, постоянно меняя директории, достоверно известно, что программа забирает примерно 10-30мб оперативной памяти, что отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных, даже после некоторого времени подключения. Антивирусы и утилиты результата не дали.


добавил логи

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 24 Апрель 2019 - 10:58

Здравствуйте!

Препод подкинул мне в учебных целях вирус

Поясните - вам нужно лечение или объяснение принципа работы?
  • 0
Изображение

#3 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 24 Апрель 2019 - 11:07

Здравствуйте!
 

Препод подкинул мне в учебных целях вирус

Поясните - вам нужно лечение или объяснение принципа работы?

 

Если у вас есть время и желание, то и принцип и лечение. А так, в приоритете интересно лечение, хотя настройки вируса, не так страшны. Пока что=))


Сообщение отредактировал Руслан Степанов: 24 Апрель 2019 - 11:07

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 24 Апрель 2019 - 11:41

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.

отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных

В безопасном режиме такая же картина?
  • 0
Изображение

#5 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 24 Апрель 2019 - 19:23

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.

отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных

В безопасном режиме такая же картина?

 

Архив отправил, скрипт выполнил. ПОсле скрипта ничего не поменялось, так же есть всплески передачи данных. В безопасном режиме вирус спит, т.к нету подключения к интернету


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 24 Апрель 2019 - 20:13

Архив отправил

Ссылку на результат покажите.

В безопасном режиме вирус спит, т.к нету подключения к интернету

Войдите в безопасный с поддержкой сети и проверьте. Результат сообщите.
  • 0
Изображение

#7 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 24 Апрель 2019 - 21:58

https://virusinfo.in...0B21CCD29372A7C

 

 

Не могу безопасный режим с инетом запустить, на ноутбуке нету разъема. А вай фай в безопасном с поддержкой сети не работает

 

Архив отправил

Ссылку на результат покажите.

В безопасном режиме вирус спит, т.к нету подключения к интернету

Войдите в безопасный с поддержкой сети и проверьте. Результат сообщите.

 


Дополню, в простое иногда скачет потребление на диске Е(без винды). Могу отправить снимок разницы реестра в нормальном запуске и в безопасном


Разница реестров

https://yadi.sk/d/fQZSEKSkuv381w

Не могу сюда загрузить


Сообщение отредактировал Руслан Степанов: 24 Апрель 2019 - 21:29

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 25 Апрель 2019 - 08:39

В системе не видно ничего плохого (вирусоподобного).
  • 0
Изображение

#9 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 25 Апрель 2019 - 13:55

Не закрывайте, пожалуйста, тему

В системе не видно ничего плохого (вирусоподобного).


Сообщение отредактировал Руслан Степанов: 25 Апрель 2019 - 13:56

  • 0

#10 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 26 Апрель 2019 - 10:29

Вирус еще есть, это подтвердил препод, и видно на работе сети. Вайфай постоянно нагружен. Может через отправленные пакеты удастся найти источник на компьютере? Intercepter-ng или что то похожее может поможет?

В системе не видно ничего плохого (вирусоподобного).


  • 0

#11 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 26 Апрель 2019 - 10:34

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
  • 0
Изображение

#12 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 26 Апрель 2019 - 10:53

А autorans логи не сохраняет? он звершился раньше, чем uvs а логов не оставил, это норма? 


добавил логи uvs

Прикрепленные файлы


  • 0

#13 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 26 Апрель 2019 - 10:57

логов не оставил, это норма?

Да.

E:\PRORGAM FIELS\WINDOWSRAR\WINDOWSRAR.EXE - этот файл вам известен?
  • 0
Изображение

#14 OFF   Руслан Степанов

Руслан Степанов

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 26 Апрель 2019 - 11:04

архиватор винрар, сам устанавливал. 

 

логов не оставил, это норма?

Да.

E:\PRORGAM FIELS\WINDOWSRAR\WINDOWSRAR.EXE - этот файл вам известен?

 

апдейт. У меня два архиватора, сейчас посомтрю


Запустил этот экзэшник, обычный винрар


Сообщение отредактировал Руслан Степанов: 26 Апрель 2019 - 11:01

  • 0

#15 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 26 Апрель 2019 - 11:04

архиватор винрар

Оригинальный winrar выглядит по-другому и находится в другой папке.

Я по-прежнему не вижу ничего вирусоподобного.
  • 0
Изображение





Темы с аналогичными тегами: виурс, rat, rootkit

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных