Мой опыт первый опыт борьбы с вирусом

в 11:37, , рубрики: Песочница, метки: ,

Здравствуйте! Только что удалил последние остатки злого и ужасного вируса. Решил написать статью, в которой укажу все, что мною предпринималось.

image

Все началось вчера вечером. Я сидел себе спокойно и смотрел фильм, как вдруг в правом верхнем углу выскочила надпись вида «Внимание! Включено видеонаблюдение!».

Сразу открыл интернет и отправился на поиски, оказалось, это RMS (программа удаленного управления компьютером).

Как только я нашел инструкцию по удалению, мышь задвигалась, браузер с инструкцией закрылся я быстренько высунул вилку из розетки, но было поздно. После перезагрузки в диспетчере задач открывалась N-ая количество процессов explorer.exe. Я сразу полез в Comodo и включил HIPS на максимум, открытие процессов заблокировалось, но антивирус показывал как самые разные программы пытаются сами себя открыть, а также внести изменения в регистр.

Дальше я загрузился в «Безопасном Режиме» и удалил RMS, но на этом нечего не закончилось.

Сама инструкция

  • Открываем диспетчер задач и завершаем тот процесс который удастся закрыть rfusclient.exe
  • Жмем кнопку win+R, ну или по русски пуск->выполнить, пишем regedit, далее жмем F3, после чего вписываем rfusclient или rfusclient.exe, нам выдаст строку (должно ее выделить) удаляем ее.
  • Удаляем папку с программой C:Program FilesRemote Manipulator System
  • Перезагружаемся

© Источник: bhf.su/threads/22007/?attempt=1

Следующие что я предпринял это включил автоматический сборщик логов. После чего скинул на флешку и с нормального компа полез в логи

/autologer/CollectionLog-XX.XX.XX-XX.XX/virusinfo_syscheck.zip/avz_sysinfo.htm

Открылась обычная html страница. Проанализиров все файлы, мне попались на глаза 3 очень странных файла

  1. c:windowssystem32syste32lsass.exe
  2. C:Windowssystem32syste32lsass.exe
  3. C:UsersbleefAppDataRoamingsyste32lsass.EXE

Насколько я знаю, таких путей не должно быть в системе. Дальше я нажал под ними кнопки удалить, а также в самом низу на кнопку «Чистка реестра после удаления файлов». У нас появился скрипт для avz, я его скопировал и попытался запустить на зараженном компьютере, но AVZ стал сразу зависать, тогда я решил загрузиться опять таки в «Безопасном режиме» и там запустили скрипт.

begin
 DeleteFile('C:UsersbleefAppDataRoamingsyste32lsass.EXE','32');
 DeleteFile('C:Windowssystem32syste32lsass.exe','32');
 DeleteFile('c:windowssystem32syste32lsass.exe','32');
ExecuteSysClean;
end.

Включил компьютер в обычном режиме, отключил HIPS и, вуаля, все нормально. Единственно, что Google Chrome пока не работает, а так все нормально функционирует.

Надеюсь данная статья поможет новичкам при борьбе с вирусом. Не забывайте сканировать свои компьютеры. Удачи.


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js