2 ответов в этой теме

[LogDogz]

Срочно нужна помощь в удаление трояна, который отходит все антивирусные программы.

*Предыстория:
Недавно я хотел установить чит-программу на игру пол названием Dead by Daylight из источника под названием GitHub, я наткнулся на некоторые репозитории с "типо" читами, скачал несколько версий, но ни один из них даже не запускался , некоторые из них определялись как вирусы (проверял я их через VirusTotal)

Первое время ни каких признаков вируса не было, на сколько я помню. Но чуть позже я заметил что копируя текс, у меня он с каким то шансом заменялася на набор символов, причем набор символов не менялся совсем: Копируемый текст заменяется на 7wUHAC1jdEVkypRm4CUmDsXuQzuqdZPRAjHWSdCQZvQn

Тогда я понял что что то не так и решил установить антивирус, ваш антивирус нашел Криптер, Стиллер. Я их удалил и проблема с "7wUHAC1jdEVkypRm4CUmDsXuQzuqdZPRAjHWSdCQZvQn" исчезла. Но не тут то было, dr.web начал блокировать .exe файлы под названием:

C:\Users\DBGProgram\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs\aitstatic.exe
file: C:\Users\DBGProgram\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs\ComSvcConfig.exe
file: C:\Users\DBGProgram\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\MicrosoftCertificateServices.exe
file: C:\Windows\System32\Tasks\aitstatic->(UTF-16LE)
file: C:\Windows\System32\Tasks\ComSvcConfig->(UTF-16LE)
file: C:\Windows\System32\Tasks\DobeDiscovery->(UTF-16LE)
file: C:\Windows\System32\Tasks\Microsoft Certificate Services->(UTF-16LE)
file: C:\Windows\System32\Tasks\MicrosoftCertificateServices->(UTF-16LE)
file: C:\Windows\System32\Tasks\MsCftMonitor->(UTF-16LE)


По началу когда он их заблокировал, я подумал что нет вирусам, но не все так просто, каждые 20 минут или 1 час антивирус снова их блокировал, тогда в настройках антивируса я поставил настройку Превентивная защита - Поведенческий анализ - Уровень защиты параноидальный.

Тогда ваш антивирус стопанул запуск файла service.exe, перейдя к тому месту где находится файл service.exe, я обнаружил ещё 2 файла b.bat и b.vbs. тогда я решил прогуглить эти файлы, но сначала ответа не нашел, но сейчас буквально 15 минут назад я наткнулся на (вроде китайский ) источник, где люди смогли понять что делает это программа: ссылка: https://www.52pojie.cn/thread-1913167-1-1.html

К сожалению ответа как удалить этот вирус я не нашел, по этому хотел бы обратиться к вам, специалистам. Может вы сможете вникнуть в суть дела и разоблачить этот вирус, прошу вашей помощи!

**Не совсем по теме:

Так же хотел бы узнать (если у вас получится, на что я надеюсь) что делает вирус и какая у него цель, поскольку что то жесткого на пк он пока у меня не делает (компьютер не виснет, рекламы нет), возможно данный вирус выкачивает всю информацию с моего компьютера.

Я готов предоставить все, что смогу, я хочу чтобы антивирусы научились разоблачать данный вирус.

Могу также приложить архив с файлами b.bat, b.vbs, Service.exe, если потребуется

Если проблема действительно очень сложная и решить не удается, сообщите мне об этом, в таком случае (что лучше всего, но заниматься переустановкой мне лень) придется сносить Windows

*******КЛЮЧЕВЫЕ ССЫЛКИ
Сборочная информация Dr. Web Fixit:
https://disk.yandex.ru/d/f1dkupM-u0mIYA

Ссылка на сайт где разбирают данный вирус по кускам:
https://www.52pojie.cn/thread-1913167-1-1.html

Веб-сайт, где распространяется вирус:
https://github.com/

 

Сборочная информация Dr. Web:
https://disk.yandex.ru/d/ROeFTjs_NRMXHg

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Ivan Korolev]

В саппортном тикете продолжим.