Перейти к содержанию

Вячеслав Александрович

Новички
  • Публикаций

    6
  • Зарегистрирован

  • Посещение

Репутация

0

Информация о Вячеслав Александрович

  • Статус
    Новичок

Посетители профиля

Блок последних пользователей отключён и не показывается другим пользователям.

  1. Есть прогресс, с этой версией дошел до 3% )), но думаю вирус видит подпапку AVZ и блокирует провел тест, создал текстовый файл на раб. столе и попытался переименовать, нажимаем ок и файл пропадает из поля видимости
  2. В общем, что и следовало ожидать, вирус знает и про AutoLogger, пришлось так же переименовывать запускной файл из архива, но после запуска и нажатия ОК выдал
  3. И да кстати, не упомянул ночью, что это связка вирусов и хак тулов, в первом посте я писал уже про папки альфа и омегу так вот виндовс дефендер(на другом пк )выдали вот такие спецификации вирусов
  4. Вирус очень хитрый, я много десятков разных повидал в боевых условиях, но этот прям вызывает восхищение :))) ок по пунктам: 1) как уже писал выше при скачивании/копировании файлов на зараженный пк любого из антивирусов с типичным названием файла Kaspersky Virus Removal Tool 2015; avg,avast,avira,panda,comodo,norton и т.д (проверено уже больше десятка)..... мы получаем сообщение Отдельное уважение утилите cureit - это единственный продукт, который при загрузке генерирует рандомное имя! Остальные утилиты пришлось ручками на другом компе переименовывать и закачивать по RDP Но увы вирус всё равно умнее т.к. знает о этих всех продуктах! В частности Утилита Касперского KVRT при запуске вылетает с сообщением А cureit хоть и стартует, но имеем неактивную кнопку, потому что вирус видимо убивает распакованный файл с информацией о лицензии, которая там должна быть. Всё запускалось с правами администратора!
  5. Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp ) вирус - блокирует установку любых антивирусов - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData и т.д. вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) -так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии )) Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе? p.s. на текущий момент после убийства всех процессов wizard.exe -> csrss.exe -> service.exe ->conhost.exe и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100% вирус1.zip
×
×
  • Создать...