Перейти к содержанию

Рекомендуемые сообщения

Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )

вирус

 - блокирует установку любых антивирусов

 - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData   и т.д.

вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) 

-так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но  продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, 

в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega 

в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe 

так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов

в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring

 

ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению

https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo

 

если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))

 

Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе? :)

 

p.s. на текущий момент после убийства всех процессов  wizard.exe -> csrss.exe -> service.exe ->conhost.exe   и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%

 


 

вирус1.zip

Изменено пользователем Вячеслав Александрович
Ссылка на сообщение
Поделиться на другие сайты

Вирус очень хитрый, я много десятков разных повидал в боевых условиях, но этот прям вызывает восхищение :)))
ок по пунктам:

1) как уже писал выше при скачивании/копировании файлов на зараженный пк любого из антивирусов с типичным названием файла
Kaspersky Virus Removal Tool 2015;

avg,avast,avira,panda,comodo,norton  и т.д (проверено уже больше десятка).....

мы получаем  сообщение

image.png.7c523d76c4320d734e3d9941bb39e9d5.png

 

Отдельное уважение утилите cureit - это единственный продукт, который при загрузке генерирует рандомное имя!

Остальные утилиты пришлось ручками на другом компе переименовывать и закачивать по RDP

Но увы вирус всё равно умнее т.к. знает о этих всех продуктах! :)

 

В частности Утилита Касперского  KVRT при запуске вылетает с сообщением

image.png.e49e347e0eb8e1f29682749e807cdf9a.png

 

А cureit хоть и стартует, но имеем неактивную кнопку, потому что вирус видимо убивает распакованный файл с информацией о лицензии, которая там должна быть.

image.thumb.png.be2bf833e32ee89307ae15e4d57414a9.png

 

Всё запускалось с правами администратора!

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

И да кстати, не упомянул ночью, что это связка вирусов и хак тулов, в первом посте я писал уже про папки альфа и омегу так вот виндовс дефендер(на другом пк )выдали вот такие спецификации вирусов
image.thumb.png.f77183af411b0f76cfb10fd8779ffd3f.pngimage.thumb.png.b121c850b8939850b9673c2f5aaa81df.pngimage.thumb.png.866525da00a82f27a2cdf2ef5b35c525.png

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Sandor сказал:

@Вячеслав Александрович, если в следующем сообщении не будет логов по правилам, тему закроем.

Да подождите сейчас отправлю

Ссылка на сообщение
Поделиться на другие сайты

В общем, что и следовало ожидать, вирус знает и про AutoLogger, пришлось так же переименовывать запускной файл из архива, но после запуска и нажатия ОК 

image.thumb.png.21715778cd8b500aafc075392b9e339d.png

 

выдал
image.thumb.png.a18e4db32ef2b33a082f2ab414f8c4b1.png

 

Изменено пользователем Вячеслав Александрович
Ссылка на сообщение
Поделиться на другие сайты

Есть прогресс, с этой версией дошел до 3% )), но думаю вирус видит подпапку AVZ и блокирует

 image.thumb.png.a04630a9aea0a24bbb193fe892b939bf.png 

 

провел тест, создал текстовый файл на раб. столе и попытался переименовать, нажимаем ок и файл пропадает из поля видимости :)

image.thumb.png.5cae20aa3887d5ef8058afcfb4215d04.png

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, пойдем другим путем:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.


Подробнее читайте в руководстве Как подготовить лог UVS.
  Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Wishnya
      Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит.
      CollectionLog-2020.10.21-14.46.zip
    • От Mayglu
      Добрый день! В начале недели на офисных компьютерах были зашифрованы все файлы. Все файлы стали иметь окончание имен [cordyceps2020@protonmail.ch].[E2423395-35FCCA86] или [cordyceps2020@protonmail.ch].[A9514F0E-FFE68623]. В каждой папке есть фаил - how_to_decrypt.hta. Так же на одном компьюторе были файлы - DesktopLocker.exe и Advanced Ip Scanner 2.5 build 3567.exe. Заранее благодарю за содействие. На этой же машине где собирал логи, был найден троян - лежал тут (Local\Temp\svccae.exe).
      CollectionLog-2020.04.10-17.31.zip
      report1.log
      report2.log
      Addition.txt
      FRST.txt
      how_to_decrypt.7z
    • От SorcerOK
      Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит. Сообщение от него остается. Находит здесь: file: C:\ProgramData\Setup\update.exe->(AutoIT)->wini.exe
      CollectionLog-2020.05.14-15.57.zip
×
×
  • Создать...