Возможно вторжение, нужна помощь

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить
Аватара пользователя

Автор темы
Wertus Miporten
Новичок
Сообщения: 2
Зарегистрирован: 15 авг 2015, 12:25
Репутация: 0
Контактная информация:
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение Wertus Miporten » 15 авг 2015, 12:27


Так говорю как есть, скачал один файл который мне посоветовали на маил.ру в ответах. Я не буду говорить какой файо изначально искал. Так вот, проблема в том что у меня месяца три не стоит антивирус либо брандмауер, воровать у меня на пк нечего так что не очень то и боялся. Вчера же запустил тот файл и спустя минут 15-20 пропал пуск стал синим, влазили таблички как с матами(там тольк ок и крестик закрыть) потом появился чат и мне тип ктото писать начал, я бы подумал бот пишет. Но он говорил что курсач удалит который на роб. столе лежал и что я на 5 курсе знал. Диспетчер задач был отключен администратором, смог вернуть его через avz. Еще он говорил хочеш пк перезагружу и перезагружал, потом говорил что двдром вытащит но у меня его нету. Я проверил систему hitmanpro, antimalware, dr web cureit, прогой от каспера, установил комодо и проверил еще и им, и каждый находил вирусы по несколько штук больше всего (8шт) antimalware.
Что же я хочу? Я хочу просто узнать если дыры в системе, может ли он опять зайти ко мне на пк, и был это человек или бот.

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4486
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 551
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение DesignerMix » 15 авг 2015, 13:09


Во первых файл скачанный вами мог например работать как vnc, r-admin или teamviewer тоесть по сути это мог быть не вирус, а просто утилита удаленного доступа, такие файлы могут не распознаваться как вирусы.

Во вторых если хотите что-бы не было уязвимостей в системе следите за обновлением самой ОС и всех программ.

В третьих не запускайте файлы к которым нет доверия. А если сомневаетесь стоит-ли доверять файлу то просто проверьте его на сайте virustotal.

Ну и на сколько я могу понять вирусов у вас уже нет, так что советую просто обновить все ПО и ОС.

Отправлено спустя 19 минут 54 секунды:
Кстати еще рекомендую проверить автозагрузку, планировщик заданий и службы на подозрительные элементы. Это можно сделать например с помощью утилиты autoruns - viewtopic.php?f=9&t=55


Afalex
Новичок
Сообщения: 5
Зарегистрирован: 18 авг 2015, 19:16
Репутация: 0
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение Afalex » 18 авг 2015, 22:27


Ну как? Решил? Вероятно ты сдал добычей зелёного школьника, раз он не преследовал никаких целей да ещё и решил самоутвердится ). Если не удалил файл то залей куда нибудь(или скинь ссылку на него мне в ЛС) предварительно запаролив, интересно =)

Аватара пользователя

Вася Сташевский
Автор статей и описаний
Автор статей и описаний
Сообщения: 55
Зарегистрирован: 24 мар 2015, 20:21
Репутация: 23
Контактная информация:
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение Вася Сташевский » 22 авг 2015, 02:53


Было что-то подобное, после последней установки ОС, пошло больше года, с того времени и не стоит антивирус. Без раздумий запускаю все файлы, так как вся важная инфа дублирована на съемные носители. И вот после запуска exe ничего не произошло, попытался удалить, файл использовался системой, я в безопасный режим, удалил его. После ресета, с ОС много что случилось, она перестала запоминать команды в ( win + R ), в панели управления исчезло большинство настроек, гиперссылки есть, но при переходе например в "администратиррвание" писало что папка пуста. Бывало смотрю в трей, а там уведомлений о обновления винды просто куча, приоткрытыии трея просто ярлыков до верхней рамки экрана. Постепенно стали пропадать калькулятор, пенит, причём даже через cmd calc.exe ничего не давал, так же как paint, что самое интересное при запуске ОС они стояли в автозагрузке, msconfig, а так же отображались в диспетчере задач. При закрытии их ничего не происходило. Бывало оставляю машину, отхожу, и вижу блики на экране, причём они были именно тогда когда я отходил. А блики такого рода, может кто знает утилиту desktop jump, вот там когда ты конектился к PC начинали появляться блики, если aero было включено. Банально из-за лени не могу нормально пользоваться домашним PC. Но на всякий отключаю web-ку от греха подальше.
Мне это напомнило RMS ( remote manipulator system ) и возможно в вашем случае та же проблема.
Ниже приведена инструкция по удалению, ( взята с первого сайта который объясняет работу rms)
1. включите в свойствах папок: показывать скрытые файлы и папки (если не помогает, а такое бывает, видел такие вирусы, которые отключают эту функцию в винде, то через Total Commander)
2. откройте "установка и удаление программ" (Win7: панель управления> программы и компоненты)
3. удалите Remote Manipulator System и перезагрузите комп.
4. затем: Windows> system32> RWLN.dll - удаляем, так-же если в system32 у вас есть папка CatRoot3 - удалить
5. затем: стандартные> выполнить - введите команду regedit с помощью поиска в реестре найдите всё что связанно с системы дистанционного манипулятора, удаляйте всё под чистую, до тех пор пока поиск реестра не скажет вам "поиск завершён"
6. включите интернет:
7. Если вы затянули хоть чуть чуть ... дай бог вам скорсти вашего печатанья, меняйте все пароли и везде где есть ваши аккаунты, а самое главное ПОЧТА, если злоумышленник завладеет вашей почтой, он получит доступ ко всем вашим аккаунтам, вы ведь знаете, на каждом сайте можно поменять пароль с помощью вашей почты .

А для того чтобы лишить будущие версии "Remote Manipulator System" возможности связаться с хозяином, можно с помощью Блокнота дописать в конец текстового файла C: \ Windows \ System32 \ Drivers \ Etc \ хостов следующую строку:

127.0.0.1 rmansys.ru

Аватара пользователя

Автор темы
Wertus Miporten
Новичок
Сообщения: 2
Зарегистрирован: 15 авг 2015, 12:25
Репутация: 0
Контактная информация:
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение Wertus Miporten » 23 авг 2015, 10:32


И так перешарил всема hitman pro antimalware dr web cureit и установил комодо, прогнал им, вирусов вродь нету, админ на компе я один по мойму, больше никаких профилей, ничего нету, в процессах и автозагрузке нету сторонних процессов по мойму. Самого файла вируса нету, удалил он был простой EXE файл SToolth v1.2.exe и setup.bat лежал на яндексе в архиве. После запуска вируса вскочило окно команд. строки и пропало.

Аватара пользователя

Пукан Пуканов
Новичок
Сообщения: 1
Зарегистрирован: 26 авг 2015, 03:43
Репутация: 0
Контактная информация:
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение Пукан Пуканов » 26 авг 2015, 03:46


Автрм темы, байка супер! Я в голос. красаучик!!


Batya
Новичок
Сообщения: 2
Зарегистрирован: 15 окт 2015, 12:23
Репутация: 0
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение Batya » 15 окт 2015, 12:36


Кстати, если на virustotal очереди, можно воспользоваться jotti

Аватара пользователя

Familiyazov
Постоянный пользователь
Сообщения: 61
Зарегистрирован: 24 дек 2014, 21:45
Репутация: 16
Статус: Не в сети

Возможно вторжение, нужна помощь

Сообщение Familiyazov » 12 дек 2015, 05:11


Wertus Miporten писал(а):Источник цитаты был это человек или бот.

Это человек, причём писал в реальном времени. Это подобие RMS (Remote Manipulation System(Система удалённого манипулирования(устройством))) именуется RAT (Remote Administration Tool(Утилита удалённого администрирования(устройства))) одна из игрушек школоты и в тоже время очень вредная штука, умеет практически всё (просмотр и управление файлами, приложениями, реестром (может себе скачать от вас что угодно, и так же вам закинуть(например клавиатурного шпиона)), просмотр подробной инфо о системе, устройствах,приложениях, просмотр рабочего стола, шпионаж через микрофон, камеру, может запускать у вас программы и прочее) первая и основная часть лечения заключается в отключении интернета, так как программа запущена в диспетчере задач и управляется непосредственно через интернет напрямую, вторая часть лечения заключается в поиске программы в автозагрузке и скрытой автозагрузке, например, утилитой autoruns(обзор которой так же делал автор форума) третья часть заключительная - перезагрузив систему почистить её антивирусом