• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Помогите удалить вирус. Заразил всю аппаратуру

  • Автор темы Удалённый пользователь 250334
  • Дата начала
У

Удалённый пользователь 250334

Здравствуйте, помогите пожалуйста удалить вирус
Общался в телеграмм чате, где скачал .pdf или перешел по ссылки и установил adobe, после чего произошло заражение. Самих этих файлов не осталось и о времени заражения говорить сложно. Если бы эти ребята не сообщили о том, что техника взломана, они могли бы еще долго за мной наблюдать. Со мной общаются, но о самом вирусе не говорят, посоветовали обратиться на форум и я вроде должен все как-то правильно обнаружить и отключить.
Предполагаю, что вирус заражает один из легитимных процессов explorer.exe или svchost.exe. Так же вероятно вирус заражает загрузочную флешку, при ее создании одной из таких программ как UltraISO, Rufus, Ether и др. Вирус заражает различные операционные системы: Windows 7, 10, 11, Linux, Android.
Если решите помочь, вам может быть интересно взглянуть, на то, что мне удалось обнаружить ( ), в облако я добавил:
1) ISO образ Windows 7 на которой проводились тесты. Предположительно образ чистый
2) 'Windows 7 - Загрузочная флешка, вероятно заражено' - С зараженной системы произвел запись на флешку с помощью UltraISO, после чего вероятно носитель стал заражен. Добавил все файлы флешки в архив и загрузил в облако.
3) TL2.RAW - Дамп оперативной памяти. С его помощью предполагал извлечь образец вируса. Извлек процессы explorer.exe и svchost.exe, где virustotal нашел вирусы
4) 'Обнаружения вирусов, что удалось найти' - Сюда я поместил предположительно зараженные образцы explorer.exe и svchost.exe, скрины с VirusTotal. Вывод volatility malfind - помог найти зараженные процессы, возможно вы могли бы увидеть в этой сигнатуре, в этих данных что-то подозрительное. Так же к архиву добавил вывод ProcessExplorer и проверку некоторых драйверов, что может быть полезно
На данный момент я успел заразить всю мою технику и вероятно сьемные носители. Я не пойму как обнаружить этот вирус и деактивировать, помогите пожалуйста
 

D3L1F3R

Red Team
20.02.2022
309
101
BIT
399
Во первых выдерни интернет кабель, это перво-наперво
Таким образом злоумышленник потеряет доступ к тебе и твоим устройствам
Затем скачай антивирус какой-нибудь для своей ОС, ну я так понял у тебя винда поэтому не могу какой-либо посоветовать
Устаняй вредоносные сценарии и проверь ещё раз на наличие вирусов свою систему, только тогда когда ты будешь убеждён что вирус пропал, подключай машину в интернет
 

Mark Klintov

Grey Team
23.07.2022
151
288
BIT
16
Если бы эти ребята не сообщили о том, что техника взломана, они могли бы еще долго за мной наблюдать.
Как я понимаю о заражении тебе сообщили сами злоумышленники. Значит шансов на лечения системы без сноса винды у тебя все меньше и меньше. Малварь находится в системе достаточно долго и если люди по ту сторону экрана не дурачки, то он уже эволюционировал в rootkit. По описанию тебе попался ратник. Первым делом вырубаешь интернет, тем самым изолируя систему от сети. Далее качаешь
Для скачивания требуется регистрация.
Помни, что большинство вирусов запрограммированы на автоматическое удаление файлов с определенным названием. Поэтому после скачивания переименуй файл и загружай в систему. Далее начинаешь проверку системы и по окончании сканирования тебе выдатут все вирусы, которые удалось найти. Ну а если ты любитель экстрима можешь воспользоваться Regshot, Wireshark, DiE и еще парочку тулзами для самостоятельного поиска вируса. Рекомендую начать погружение с %AppData%. По пути проверь Temp и загляни в Автозагрузку. Там ты найдешь первые зацепки, я уверен
 
У

Удалённый пользователь 250334

В дополнение к основному посту:
1) Проверил систему различными антивирусами, что результатов не принесло
2) Процесс svchost.exe при подключении к сети, связывается с удаленным сервером. Вот пример ip: 23.216.147.76
3) В приложенном архиве, можно найти два файла explorer.exe и executable.1552. executable.1552 - Сперва я воспользовался модулем volatility vadinfo, где узнал start адрес и выгрузил процесс с помощью vaddump по стартовому адресу. explorer.exe - выгрузил с помощью модуля volatility procdump. Не знаю какой из методов может пригодиться, может быть более полезным
4) В облако добавил сохраненный вывод программы autoruns от sysinternals с названием 'Autoruns Windows 7 - C зараженной системы' - посмотрите пожалуйста, не пойму на что обращать внимание
 

Mark Klintov

Grey Team
23.07.2022
151
288
BIT
16
В дополнение к основному посту:
1) Проверил систему различными антивирусами, что результатов не принесло
2) Процесс svchost.exe при подключении к сети, связывается с удаленным сервером. Вот пример ip: 23.216.147.76
3) В приложенном архиве, можно найти два файла explorer.exe и executable.1552. executable.1552 - Сперва я воспользовался модулем volatility vadinfo, где узнал start адрес и выгрузил процесс с помощью vaddump по стартовому адресу. explorer.exe - выгрузил с помощью модуля volatility procdump. Не знаю какой из методов может пригодиться, может быть более полезным
4) В облако добавил сохраненный вывод программы autoruns от sysinternals с названием 'Autoruns Windows 7 - C зараженной системы' - посмотрите пожалуйста, не пойму на что обращать внимание
Попробуй систему просканировать TDSSKiller. Он как раз малварь на уровне rootkit ищет
 

Mark Klintov

Grey Team
23.07.2022
151
288
BIT
16
Попробуй систему просканировать TDSSKiller. Он как раз малварь на уровне rootkit ищет
Ну или самый крайний вариант это обнуление винды. Можешь также попробовать восстановить систему из снапшотов, но я не уверен, что это увенчается успехом
 

☠xrahitel☠

Grey Team
09.12.2016
240
305
BIT
51
4) В облако добавил сохраненный вывод программы autoruns от sysinternals с названием 'Autoruns Windows 7 - C зараженной системы' - посмотрите
Файл поврежден (Autoruns Windows 7 - C зараженной системы)
пожалуйста, не пойму на что обращать внимание
Включи в Autoruns проверку на VT и скинь сюда.

1.jpg
 

Lunik

Green Team
14.08.2018
59
38
BIT
108
Скачайте утилиту (Для начало посмотрим вашу систему, и что в нее могли внедрить.)
В зависимости от разрядности вашей системы скачайте нужный exe

Запустите, нажмите Да
Дополнительно поставьте галочки Файлы за 90 дней
По окончанию сканирвание 2 Вас появится 2 текстовых файла FRST.txt. и Addition.txt
И прикрепите их сюда.
 

Mark Klintov

Grey Team
23.07.2022
151
288
BIT
16
Скачайте утилиту (Для начало посмотрим вашу систему, и что в нее могли внедрить.)
В зависимости от разрядности вашей системы скачайте нужный exe

Запустите, нажмите Да
Дополнительно поставьте галочки Файлы за 90 дней
По окончанию сканирвание 2 Вас появится 2 текстовых файла FRST.txt. и Addition.txt
И прикрепите их сюда.
Тут уже всеми возможными антивирусами пытались сканировать) Из вариантов еще можно дамп системы сделать и в изолированной среде изучить все это дело
 
У

Удалённый пользователь 250334

Вложения

  • Autoruns Windows 7 - C зараженной системы.arn.zip
    399,2 КБ · Просмотры: 46

Lunik

Green Team
14.08.2018
59
38
BIT
108
Тут уже всеми возможными антивирусами пытались сканировать) Из вариантов еще можно дамп системы сделать и в изолированной среде изучить все это дело
Ничего страшног проверим еще пару утилитками. Больше подозрения, что там мало вероятно что есть.))
 
У

Удалённый пользователь 250334

Тут уже всеми возможными антивирусами пытались сканировать) Из вариантов еще можно дамп системы сделать и в изолированной среде изучить все это дело
Сделал ISO образ зараженной загрузочной флешки, выгрузил в облако с названием 'Windows 7 - Заражено.iso'. Посмотрите пожалуйста, не пойму, что с этим делать
 

☠xrahitel☠

Grey Team
09.12.2016
240
305
BIT
51
2) Процесс svchost.exe при подключении к сети, связывается с удаленным сервером. Вот пример ip: 23.216.147.76
Но это сайт
smile.png


Сделал новый файл с проверкой VirusTotal, как показано на скрине. Выгружаю сюда, а так же в облако
Ничего не вижу подозрительного, от куда вообще инфа что у Вас троян, по чему не заблокируете (23.216.147.76)
 

Mark Klintov

Grey Team
23.07.2022
151
288
BIT
16
Ничего не вижу подозрительного, от куда вообще инфа что у Вас троян, по чему не заблокируете (23.216.147.76)
Исходя из вопроса с человеком связались сами злоумышленники. Но здесь либо малварь хорошо прячется либо там и в правду ничего нету
 

☠xrahitel☠

Grey Team
09.12.2016
240
305
BIT
51
Исходя из вопроса с человеком связались сами злоумышленники. Но здесь либо малварь хорошо прячется либо там и в правду ничего нету
Вот и не понятно, как связались, может тупо по почте прикололись
149706209.gif
по чему тупо откат не сделать мне тоже не понятно
1.gif
 

Mark Klintov

Grey Team
23.07.2022
151
288
BIT
16
Вот и не понятно, как связались, может тупо по почте прикололись Посмотреть вложение 66108 по чему тупо откат не сделать мне тоже не понятно Посмотреть вложение 66109
Если отталкиваться от самого худшего, то rootkit может быть хорошо замаскирован, что даже откат не спасет. Ну а если от самого благоприятного, то скорее всего этого вопроса уже не существовало бы😅
 

ConnectionDrill

Grey Team
27.07.2022
39
37
BIT
8
мне кажется, это обычный блеф. они просят что-то взамен?

~и кидали ли они доказательства этой слежки? .. наверное обычная си
 

Faust_1st

Green Team
16.06.2020
23
16
BIT
0
Если отталкиваться от самого худшего, то rootkit может быть хорошо замаскирован, что даже откат не спасет. Ну а если от самого благоприятного, то скорее всего этого вопроса уже не существовало бы😅
Ты думаешь, что люди будут тратить время на то, чтобы заразить обычного человека? Такие атаки нацелены на крупных личностей с которых можно получить выгоду. Но а тут, скорее всего, у человека паранойя. Только так можно это описать. Да и поймать такой руткит сложно.. Ну я лично целеустремлённо пытался это сделать, увы, не вышло.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!