Комментарии 27
Итог
Если уж решились украсть игру то воруйте в приличных местах. На рутрекере оно есть, 90 раздающих прямо сейчас.
И даже взяв ее с приличного места - отправь все exe файлы на virustotal.
Она даже на вебархиве есть.
С одной стороны, не хочется обижать автора, с другой... лучше промолчу.
А вы не пробовали скачать SandBoxie, которая сейчас уже разрабатывается другим сольным разработчиком, и запускать всё "непотребное" в ней? Мне уже 10 лет как помогает, и игрушки и программы левые, тоже в ней запускаю, убивает двух зайцев - и систему не сорит, и настройки с файлами в одной куче хранятся
Ну тут статья похоже чисто для юмора, прямо вспомнился 2007 с первыми троянами в сети, когда еще DDOS, простите, через командную строку.exe практиковали
Когда искал что-то, обратил внимание, что на рутрекере многие древние игры есть в раздачах, созданных буквально год-два-три назад. Старых раздач нет. И это сразу навевает подозрительные мысли.
c патчами для Windows 11, я бы предположил. Вполне могли что-то сломать за 5 мажорных версий Windows
Я исследовал опубликованные в раздачах на Рутрекере разные сборки ОС (понятно, что сам я их не использую, чисто ради интереса), и софт вроде Adobe Photoshop, FL Studio, а также игры - например, Stray.
Выяснилось, что процентах в 80 зашита разной хитрости малварь. Например, встречал я сборку OVGorskiy (или как его там), где был модуль ядра, который, понятное дело, не подписан, но он прятал процессы и скрывал себя в памяти. Устанавливал хуки на целую кучу вызовов, делал много чего еще.
В FL Studio был зашит загрузчик малвари.
Самое интересное, что когда я выкладывал на рукрекере доказательства, мои посты тёрли. В конце концов, мне просто запретили отвечать в темах. Вот такой он, рутрекер. Не удивлюсь, если его владельцы в доле с ботоводами)
Но hosts нельзя отредактировать без прав администратора, если что
Поймал вирус впервые за 8 лет отсутствия антивируса в системе.
data1.bin был удален антивирусом, но не столь важно
Так был антивирус или вы Windows Defender не считаете за антивирус?
Ну и нужно взять в привычку запускать сомнительное сначала в песочнице. В винду есть встроенная, но она требует Pro лицензии. Ну, или через VMware накатить виртуалку.
Хм ...
Если я просто в поисковой строке Оперы наберу "Антивирусная утилита AVZ", то этот браузер закрывается.
Не переход на сайт, а просто поиск!
В Хроме и Яндекс-браузере поиск не вылетает. Но все ссылки не рабочие. Либо пишет, что сертификат сайта недействителен, либо тоже браузер закрывается.
С чего бы это?
Других странностей нет.
Я бы сказал, что это с того, что система заражена.
Если вы заглянете в hosts (и если вам дадут вообще это сделать), то весьма вероятно обнаружите там причину проблемы с сертификатами.
Всю эту скомпрометированную систему стоит переустановить начисто (не поверх) с оригинального образа и больше не тащить в неё всякое дерьмо из интернетов.
Ха! И в самом деле там полно подмен адресов сайтов на 8.8.8.8.
Будет чем заняться долгими зимними вечерами. Переустанавливать ОСь буду в крайнем случае. Сначала попытаюсь вылечить.
в случае если ваша ОС скомпроментирована однажды и какой-то процесс получил администратора или произошла установка служба/драйвера который вы не устанавливали, то она скомпроментирована с концами.
Подчистив очевидные места, вы возможно остановите часть вредоносной активности, но там вполне может остаться руткит для удалённого доступа или что-нибудь ещё, что вы не найдёте даже сравнив все хэшсуммы каждого исполняемого файла (запуская изнутри ОС).
Нужно как минимум загружаться с liveCD/liveUSB, и если вы не можете завалидировать каждый исполняемый файл на системном разделе и каждый конфиг (что теоретически возможно с некоторыми дистрибутивами linux), то ваша система всё ещё остаётся потенциально скомпрометированной.
лучше переустановите для личного спокойствия и умиротворения.
Обнаружил, что в папке загрузок, находятся две папки "AutoLogger" и "AV_block_remover", с датой, соответствующей дате изменения файла hosts.
Папки не открываются. Поиск в Инете по их названиям приводит к тому, что браузер закрывается. Похоже, что зловред так реагирует на найденные ссылки.
Чистка файла hosts не помогла.
Ты бач, яка зараза ...
Все скачанные exe проверяю на virustotal, пока этого хватает. Но на всякий случай: какие есть утилиты для однократной проверки на вирусы, т.е. не в фоне с перехватом всего, как классические антивирусы, а именно отдельные утилиты которые работают только когда их явно запустишь? Знаю несколько - упомянутые AVZ, KVRT, еще вроде Dr.Web CureIt. А что еще, в том числе нероссийских разработчиков?
Эх ... хорошая статья :)
Благодаря ей я обнаружил, что мой комп заражен.
Прочитав её, я решил скачать утилиту AVZ. Когда-то я ею активно пользовался для изничтожения руткитов и прочих неизвестных науке зверей.
Но при заходе на страницу AVZ браузер внезапно закрылся. И другой браузер тоже закрылся. И третий.
В фале hosts обнаружилась куча записей на IP=8.8.8.8. По дате изменения этого фала были обнаружены папки, которые невозможно открыть. При попытке поиска информации по названиям этих папок браузеры тоже закрывались.
При этом повышенной нагрузки ни на процессор, ни на видеокарту или диск не было.
Решил полечить комп. Но страница KVRT тоже закрывала браузеры.
Зашел удаленно на рабочий комп, скачал AVZ и KVRT. Но по почте переслать их не смог - большие, почта не пропускает.
Скачал опять через удаленный доступ.
Запустил комп в безопасном режиме, восстановил административный доступ, полечил и удалил найденные при помощи KVRT зловреды.
Перезагрузил комп ... Больше ОСь не загружается. Черный экран с курсором, после чего перезагрузка. И так несколько раз. Потом сообщение, что система не смогла загрузиться корректно. Восстановление не помогает.
Придется переустанавливать систему :D
Спасибо за отличный материал :D :D :D
ох.. тяжелый случай однако, надеюсь важные файлы не были потеряны
Да нет ... Почти все нужные файлы скопировал из-под Стрельца на внешний диск. Кое-что, конечно, забыл, но это не критично, т.к. в принципе восстанавливаемо.
Сейчас развлекаюсь тем, что заново ставлю любимые программы и их настраиваю. Т.к. для удобства работы с некоторыми программами я вручную модифицировал, например, контекстное системное меню для ассоциированных файлов и пр, то вспоминать что да как придется долго.
Зато во всём можно найти положительные плюсы:
Во-первых, на машине было установлено куча всякого мусора в виде неиспользуемых или неактуальных программ. Теперь будет чище.
Во-вторых, давно собирался заменить Win8.1 на Win10. 5 лет назад на десятку нельзя было смотреть без слёз, а теперь уже восьмерка явно устарела. Тем более, она ругалась при включении, что не может раскрыть весь потенциал процессора и рекомендовала обновиться на десятку. Вот и обновился :)
сделайте liveCD (или liveUSB) и попробуйте загрузить антивирус и выполнить процесс лечения с него. Хорошие шансы восстановить систему, если вы не поймали крипто-шифровальщик конечно
Умный вирус с майнером