Перейти к содержанию

RAT+rootkit


Руслан Степанов

Рекомендуемые сообщения

Руслан Степанов

Привет. 

Препод подкинул мне в учебных целях вирус через вайфай. Объясню суть: некая интеллектуальная система гуляет по компу, постоянно меняя директории, достоверно известно, что программа забирает примерно 10-30мб оперативной памяти, что отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных, даже после некоторого времени подключения. Антивирусы и утилиты результата не дали.


добавил логи

CollectionLog-2019.04.24-10.19.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Препод подкинул мне в учебных целях вирус

Поясните - вам нужно лечение или объяснение принципа работы?
Ссылка на сообщение
Поделиться на другие сайты
Руслан Степанов

Здравствуйте!

 

Препод подкинул мне в учебных целях вирус

Поясните - вам нужно лечение или объяснение принципа работы?

 

Если у вас есть время и желание, то и принцип и лечение. А так, в приоритете интересно лечение, хотя настройки вируса, не так страшны. Пока что=))

Изменено пользователем Руслан Степанов
Ссылка на сообщение
Поделиться на другие сайты

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.

 

отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных

В безопасном режиме такая же картина?
Ссылка на сообщение
Поделиться на другие сайты
Руслан Степанов

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.

 

отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных

В безопасном режиме такая же картина?

 

Архив отправил, скрипт выполнил. ПОсле скрипта ничего не поменялось, так же есть всплески передачи данных. В безопасном режиме вирус спит, т.к нету подключения к интернету

Ссылка на сообщение
Поделиться на другие сайты

Архив отправил

Ссылку на результат покажите.

 

В безопасном режиме вирус спит, т.к нету подключения к интернету

Войдите в безопасный с поддержкой сети и проверьте. Результат сообщите.
Ссылка на сообщение
Поделиться на другие сайты
Руслан Степанов

https://virusinfo.info/virusdetector/report.php?md5=C1FE20C8E66E9E7B80B21CCD29372A7C

 

 

Не могу безопасный режим с инетом запустить, на ноутбуке нету разъема. А вай фай в безопасном с поддержкой сети не работает

 

Архив отправил

Ссылку на результат покажите.

В безопасном режиме вирус спит, т.к нету подключения к интернету

Войдите в безопасный с поддержкой сети и проверьте. Результат сообщите.

 


Дополню, в простое иногда скачет потребление на диске Е(без винды). Могу отправить снимок разницы реестра в нормальном запуске и в безопасном


Разница реестров

https://yadi.sk/d/fQZSEKSkuv381w

Не могу сюда загрузить

Изменено пользователем Руслан Степанов
Ссылка на сообщение
Поделиться на другие сайты
Руслан Степанов

Не закрывайте, пожалуйста, тему

В системе не видно ничего плохого (вирусоподобного).

Изменено пользователем Руслан Степанов
Ссылка на сообщение
Поделиться на другие сайты
Руслан Степанов

Вирус еще есть, это подтвердил препод, и видно на работе сети. Вайфай постоянно нагружен. Может через отправленные пакеты удастся найти источник на компьютере? Intercepter-ng или что то похожее может поможет?

В системе не видно ничего плохого (вирусоподобного).

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на сообщение
Поделиться на другие сайты
Руслан Степанов

А autorans логи не сохраняет? он звершился раньше, чем uvs а логов не оставил, это норма? 


добавил логи uvs

DESKTOP-34DN8DC_2019-04-26_10-40-13_v4.1.4.7z

Ссылка на сообщение
Поделиться на другие сайты
Руслан Степанов

архиватор винрар, сам устанавливал. 

 

логов не оставил, это норма?

Да.

E:\PRORGAM FIELS\WINDOWSRAR\WINDOWSRAR.EXE - этот файл вам известен?

 

апдейт. У меня два архиватора, сейчас посомтрю


Запустил этот экзэшник, обычный винрар

Изменено пользователем Руслан Степанов
Ссылка на сообщение
Поделиться на другие сайты

архиватор винрар

Оригинальный winrar выглядит по-другому и находится в другой папке.

 

Я по-прежнему не вижу ничего вирусоподобного.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • вася1525
      От вася1525
      Команда -attribytes disk clear readonly в зараженном ПК выполняется,а применяя DVD привод пишет о невозможности очистить атрибуты диска.Есть ли решение сей проблемы.Прошу помочь.
    • Smolwar
      От Smolwar
      Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 
      Addition.txt avz_log.txt FRST.txt SecurityCheck.txt
    • Iam
      От Iam
      Привет ребят, не гоните сочными тряпками. По общему описанию. Китайский зашитый бекдор, руткит в ssd goldenfir. Думаю встречались некоторые. Встраивается в ядро и железо походу. Полное зануление не помогает. Хвост - фиксит бсод. Tdss находит неподпис btha2dp.sys bthhfenum.sys Это сборка или есть название этому чуду(дальше пойду гуглить). Выкинуть в принципе не жалко. Мать прошивал по правилам. Сейчас роутер не пингуется. Так что накидывают мне по ситуации, но интересно
    • puki
      От puki
      Здравствуйте, мой компьютер заражен rat(remote access trojan).
      Который выживает после переустановки операционной системы.
      Я думаю, что вирус активен перед загрузкой Windows.
       
      Симптомы:
      -закрытие процессов
      - скрыть иконки в трее
      - смена паролей
      -установка программ, даже не заметив -медленный интернет
       
      Какая информация была бы вам полезна?
       
      Извините, если есть ошибки. Но русский не мой родной язык.
      Спасибо.
    • makes
      От makes
      Собственно сабж.
      Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 
      avz_log.txt
×
×
  • Создать...