backdoor [РЕШЕНО] Вирус от DarkComet RAT.

[Unknown0000 0]

Приветствую. Не так давно, столкнулся с проблемой - запустил BackDoor вирус от DarkComet RAT.

Злоумышленник имел полный доступ к ПК, включал вебкамеру, смотрел содержимое диска и.т.д.

Позже, я переустановил ОС.

Но, просканировав на VirusTotal на новой системе файл svchost.exe(который находится в системой папке C:\Windows\System32) обнаружил это:

https://drive.google.com/file/d/1eBsmopd1eROJK3vTMZ7M1xmoTg73hQ_O/view?usp=sharing

https://drive.google.com/file/d/1kbosVxtx7kD8Pkr5wmRxerbqlH-1NmBZ/view?usp=sharing

https://drive.google.com/file/d/1wsH3X2H8ZOUG1kemYTEB61UOuJf6_JnZ/view?usp=sharing

https://drive.google.com/file/d/1aYmx4OkI8xORfcJSY8eUVUZljKP7emhQ/view?usp=sharing

https://drive.google.com/file/d/1ccayGay4RuWQMS6LOCvN98BINRGYmOiv/view?usp=sharing

 

Также, на других файлах .exe было найдено что-то.

 

Однако, антивирус avast на полном сканировании с максимальной чувствительностью ничего не нашел - https://drive.google.com/file/d/1cca...ew?usp=sharing

 

Подскажите кто знает как избавится от этого, пожалуйста.

 

[regist 571]

Если надо гадать по фотографиям, то это к гадалкам, а не сюда. А здесь нужны логи Порядок оформления запроса о помощи.
А так похоже на файловый вирус.

[Unknown0000 0]

Логи прикрепил.

CollectionLog-2020.06.20-16.18.zip

[SQ 756]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

 

После выполнения скрипта компьютер перезагрузится.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Unknown0000 0]

Скрип выполнил.

Образ прикрепил.

ANDREY_2020-06-21_09-04-01_v4.1.9.7z

[Sandor 859]

@Unknown0000 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

[regist 571]

Активного заражения у вас нет.
svchost.exe по https://www.virustotal.com/gui/file/75c5a97f521f760e32a4a9639a653eed862e9c61/detection тоже чистый.
Можно только немного мусор почистить.

• Закройте все программы,

временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

 

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~1.DLL
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~2.DLL
apply

restart

 

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в  этом руководстве.

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

[Unknown0000 0]

23 минуты назад, Sandor сказал:

 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

@Sandor Спросил на разных форумах, может, кто-то оперативней поможет.

 

@regist Спасибо, позже попробую.

Изменено 21 июня, 2020 пользователем Unknown0000

[regist 571]

11 минут назад, Unknown0000 сказал:

Спросил на разных форумах, может, кто-то оперативней поможет.

только в результате такого лечения вы рискуете убить свою систему полностью. Это равносильно как лечиться у двух докторов. Оба выпишут лекарства не зная, что второй выписал лекарство которое не совместимо с этим.

Я уже молчу про то что логи искажены.

[Unknown0000 0]

Сообщение от модератора SQ

Убрал чрезмерное цитирование.

 

Скрипт выполнил, ссылка: https://virusinfo.info/virusdetector/report.php?md5=B9E61CCE7F0F69B80A3250E4F2F7369D

[regist 571]

Как выше написал лечить у вас нечего, так что по сути надо закрывать тему на обоих форумах.

 

Последние рекомендации

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
	LogPath : string;
	ScriptPath : string;

	begin
	 LogPath := GetAVZDirectory + 'log\avz_log.txt';
	 if FileExists(LogPath) Then DeleteFile(LogPath);
	 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

	  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
	    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
	       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
	       exit;
	     end;
	  end;
	 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
	end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

 

 

[regist 571]

2 часа назад, Sandor сказал:

@Unknown0000 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

+ https://forum.drweb.com/index.php?s=f89cff3422a77371d41fd03aeddf0d8c&showtopic=333465

 

@Unknown0000, где ещё успели наплодить дубли? Не удивляйтесь, если после подобного вас откажутся лечить, при чём сразу на всех форумах (ибо везде помогают одни и теже люди).

[Unknown0000 0]

2 часа назад, regist сказал:

где ещё успели наплодить дубли?

Это всё. На 3 форумах.

 

3 часа назад, regist сказал:

Выполните скрипт в AVZ

Скрипт выполнил.

 

3 часа назад, regist сказал:

лечить у вас нечего

Странно, что незадолго после включения системы нагрузка на диск D была 100 процентная, после включения антивируса нагрузка быстро упала...

Изменено 21 июня, 2020 пользователем Unknown0000

[Sandor 859]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом.На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах!Всегда ваш, фан-клуб "Лаборатории Касперского".