Как удалить склейку с вирусом и получить незараженный исполняемый файл?

[xxxzsx]

Какие инструменты могут помочь разобрать и удалить склейку, чтобы вернуть программу в исходный вид? Вручную через рефлектор/подобное либо автоматом если для этого что-то существует? Ни один из антивирусов, которые хвастаются кнопкой «вылечить файл», не вылечил ничего из того что у меня имеется, да я и не ожидал от них.

 

[alast0r]

декомпиляция

 

[Pernat1y]

Запустить в ВМ и забрать дропнутый файл.

 

[cateslla]

​

запусти в песочнице

​

 

[xxxzsx]

​

запусти в песочнице

​

вопрос как почистить файл чтоб не запускать каждый раз песочницу

декомпиляция

умное слово ок. дальше что

 

[alast0r]

вопрос как почистить файл чтоб не запускать каждый раз песочницу



умное слово ок. дальше что

при декомпиляции з должными навыками ты сможешь найти вредонос и успешно стереть его из кода

 

[explorer]

Какие инструменты могут помочь разобрать и удалить склейку, чтобы вернуть программу в исходный вид? Вручную через рефлектор/подобное либо автоматом если для этого что-то существует? Ни один из антивирусов, которые хвастаются кнопкой «вылечить файл», не вылечил ничего из того что у меня имеется, да я и не ожидал от них.

Если коротко - НИКАК. Если точнее, то нет никаких автоматических инструментов для этих целей, и не будет никогда. Единственный вариант это реверс программы, то есть получение исходного кода с его последующей правкой. А для этого нужны очень хорошие навыки работы с бинарщиной, умение пользоваться такими отладчиками как IDA, OLLYDBG и т.д., и знать ассемблер, иначе ничего не выйдет.

Именно поэтому поиски каких-то других решений бесполезны, их просто не существует.

 

[Pernat1y]

Именно поэтому поиски каких-то других решений бесполезны, их просто не существует.

Да ладно. Большинство биндеров дропают файл, а не запускает его из памяти. Поэтому простой запуск склейки в ВМ и забор нужного файла из %temp% (или ещё откуда) обычно решает проблему.
А по поводу "и не будет никогда" и тех биндеров, которые запускают софт из памяти, то есть софт для мониторинга WriteProcessMemory, которые вполне себе могут перехватить нужный кусок бинарника.

@xxxzsx могу помочь, если бинарником поделишься.

 

[xxxzsx]

@xxxzsx могу помочь, если бинарником поделишься.

Да без проблем

https://yadi.sk/d/skd81Wy9e2zJYg
https://yadi.sk/d/qo2A7t7doOkOrw
https://yadi.sk/d/MNoCDrGbtX8ApA
https://yadi.sk/d/5P8PZWyExyMe5Q
https://yadi.sk/d/BCLUnfAnk-d1Zg
пароль BHF.IO
все файлы заражены

 

[Pernat1y]

С чего ты взял, что там клей? Несколько файлов потыкал - вроде ничего подозрительного.

 

[xxxzsx]

С чего ты взял, что там клей? Несколько файлов потыкал - вроде ничего подозрительного.

Да закинь любой файл в VirusTotal.
Norton и Avast на моем ПК оба жалуются на ряд файлов из этого сборника, не на все, но точно на половину. TextUtils например сразу в карантин полетел, они его ещё друг у друга отбирали, кто первее.
Запуск нескольких утилит в виртуальной машине привел к тому что она начала плохо себя вести, изгадились все ярлыки, хром начал запускать какие-то страницы http ://go. 2go2. go/... с подобными url-адресами. Во все щели систему подолбило.
Ты наверно посмотрел плохо.

 

[Pernat1y]

Да закинь любой файл в VirusTotal.
Norton и Avast на моем ПК оба жалуются на ряд файлов из этого сборника, не на все, но точно на половину. TextUtils например сразу в карантин полетел, они его ещё друг у друга отбирали, кто первее.
Запуск нескольких утилит в виртуальной машине привел к тому что она начала плохо себя вести, изгадились все ярлыки, хром начал запускать какие-то страницы http ://go. 2go2. go/... с подобными url-адресами. Во все щели систему подолбило.
Ты наверно посмотрел плохо.

Какие именно файлы нужны? Их там довольно много.