От
Вячеслав Александрович
Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )
вирус
- блокирует установку любых антивирусов
- скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData и т.д.
вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования)
-так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но продолжаю искать способ удаления вируса дистанционно и где откуда он стартует,
в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega
в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe
так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов
в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring
ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению
https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo
если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))
Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе?
p.s. на текущий момент после убийства всех процессов wizard.exe -> csrss.exe -> service.exe ->conhost.exe и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%
вирус1.zip
Рекомендуемые сообщения