RAT+rootkit

[Руслан Степанов]

Привет. 

Препод подкинул мне в учебных целях вирус через вайфай. Объясню суть: некая интеллектуальная система гуляет по компу, постоянно меняя директории, достоверно известно, что программа забирает примерно 10-30мб оперативной памяти, что отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных, даже после некоторого времени подключения. Антивирусы и утилиты результата не дали.

добавил логи

CollectionLog-2019.04.24-10.19.zip

[Sandor]

Здравствуйте!

 

Препод подкинул мне в учебных целях вирус

Поясните - вам нужно лечение или объяснение принципа работы?

[Руслан Степанов]

Здравствуйте!

 

Препод подкинул мне в учебных целях вирус

Поясните - вам нужно лечение или объяснение принципа работы?

 

Если у вас есть время и желание, то и принцип и лечение. А так, в приоритете интересно лечение, хотя настройки вируса, не так страшны. Пока что=))

Изменено 24 апреля, 2019 пользователем Руслан Степанов

[Sandor]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных

В безопасном режиме такая же картина?

[Руслан Степанов]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных

В безопасном режиме такая же картина?

 

Архив отправил, скрипт выполнил. ПОсле скрипта ничего не поменялось, так же есть всплески передачи данных. В безопасном режиме вирус спит, т.к нету подключения к интернету

[Sandor]

Архив отправил

Ссылку на результат покажите.

 

В безопасном режиме вирус спит, т.к нету подключения к интернету

Войдите в безопасный с поддержкой сети и проверьте. Результат сообщите.

[Руслан Степанов]

https://virusinfo.info/virusdetector/report.php?md5=C1FE20C8E66E9E7B80B21CCD29372A7C

 

 

Не могу безопасный режим с инетом запустить, на ноутбуке нету разъема. А вай фай в безопасном с поддержкой сети не работает

 

Архив отправил

Ссылку на результат покажите.

В безопасном режиме вирус спит, т.к нету подключения к интернету

Войдите в безопасный с поддержкой сети и проверьте. Результат сообщите.

 

Дополню, в простое иногда скачет потребление на диске Е(без винды). Могу отправить снимок разницы реестра в нормальном запуске и в безопасном

Разница реестров

https://yadi.sk/d/fQZSEKSkuv381w

Не могу сюда загрузить

Изменено 24 апреля, 2019 пользователем Руслан Степанов

[Sandor]

В системе не видно ничего плохого (вирусоподобного).

[Руслан Степанов]

Не закрывайте, пожалуйста, тему

В системе не видно ничего плохого (вирусоподобного).

Изменено 25 апреля, 2019 пользователем Руслан Степанов

[Руслан Степанов]

Вирус еще есть, это подтвердил препод, и видно на работе сети. Вайфай постоянно нагружен. Может через отправленные пакеты удастся найти источник на компьютере? Intercepter-ng или что то похожее может поможет?

В системе не видно ничего плохого (вирусоподобного).

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Руслан Степанов]

А autorans логи не сохраняет? он звершился раньше, чем uvs а логов не оставил, это норма? 

добавил логи uvs

DESKTOP-34DN8DC_2019-04-26_10-40-13_v4.1.4.7z

[Sandor]

логов не оставил, это норма?

Да.

 

E:\PRORGAM FIELS\WINDOWSRAR\WINDOWSRAR.EXE - этот файл вам известен?

[Руслан Степанов]

архиватор винрар, сам устанавливал. 

 

логов не оставил, это норма?

Да.

E:\PRORGAM FIELS\WINDOWSRAR\WINDOWSRAR.EXE - этот файл вам известен?

 

апдейт. У меня два архиватора, сейчас посомтрю

Запустил этот экзэшник, обычный винрар

Изменено 26 апреля, 2019 пользователем Руслан Степанов

[Sandor]

архиватор винрар

Оригинальный winrar выглядит по-другому и находится в другой папке.

 

Я по-прежнему не вижу ничего вирусоподобного.