Главная » Статьи

Как избавиться от вируса дарк комета

Содержание
  1. backdoor [РЕШЕНО] Вирус от DarkComet RAT.
  2. Рекомендуемые сообщения
  3. Похожий контент
  4. Вирус от DarkComet RAT.
  5. #1 Unknown0000
  6. #2 Dr.Robot
  7. Львовский хакер инфицировал компьютеры в 50 странах мира. Как защититься от вируса DarkComet
  8. Как проверить, есть ли этот вирус на вашем компьютере
  9. Храм Абдулонауки
  10. Архив
  11. Как полностью удалить DarkComet?

backdoor [РЕШЕНО] Вирус от DarkComet RAT.

Рекомендуемые сообщения

Похожий контент

Добрый день. Проблема с удаленным доступом злоумышленников, который возможно остался после заражения ПК.
Суть вопроса: Возможна ли ситуации, что даже после очистки ПК и переустановки системы у злоумышленника остался доступ к моему ПК? Подробнее я описал в теме соседнего раздела, но отписать сюда.
Вот тема:

Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.
Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.

Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).
Ссылка на вредоносный сайт, где можно скачать софт :

Полная хронология событий:

1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.

2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации. Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя почему-то не предал этому значение).

3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой. Вирусов в системе никаких нет.

На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
Ещё раз извиняюсь, что без логов, но ситуация такая.

В защитнике Вигдовс в списке «разрешенные» трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят.

При борьбе с вирусом в соседнем разделе (https://forum.kasperskyclub.ru/topic/83139-winmonsys-windefenderexe-csrss) пришли к выводу, что необходимо установить хотфиксы для успешного излечения. Однако, служба Центра обновлений Windows отсутствует в списке служб, а при попытке включить центр обновлений windows через панель управления, выскакивает ошибка: Центр обновлений Windows в настоящее время не может выполнить поиск обновлений, поскольку эта служба не запущена. При попытке установить скачанные хотфиксы выскаивает ошибка 0х80070424.

Читайте также:  Как узнать что клещ энцефалитный у человека

После Repair с помощью Tweaking и перезагрузки в безопасный режим служба всё-таки появилась в списке, но отсутствует возможность ее запустить или же остановить, статус отключена. При попытке попробовать поставить тип запуска исполняемого на «Автоматический» выскакивает ошибка:

Не удалось сбросить флажок отложенного автоматического запуска. Ошибка 1072: Данная служба была отмечена для удаления.

Источник

Вирус от DarkComet RAT.

#1 Unknown0000

  • Posters
  • 13 Сообщений:

    • #2 Dr.Robot

  • Helpers
  • 2 831 Сообщений:

    • 1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

    Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

    2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

    — попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
    — детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
    — дождаться ответа аналитика или хелпера;

    3. Если у Вас зашифрованы файлы,

    Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

    Что НЕ нужно делать:
    — лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
    — переустанавливать операционную систему;
    — менять расширение у зашифрованных файлов;
    — очищать папки с временными файлами, а также историю браузера;
    — использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
    — использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

    Что необходимо сделать:
    — прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

    Читайте также:  Средство от муравьев пудра борная кислота

    4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

    Для этого проделайте следующее:

    Источник

    Львовский хакер инфицировал компьютеры в 50 странах мира. Как защититься от вируса DarkComet

    Житель Львовской области модифицировал один из компьютерных вирусов и инфицировал им почти две тысячи устройств с более полусотни стран мира. Об этом сообщает департамент киберполиции Украины. По данным ведомства, сотрудники сейчас устанавливают, каким образом происходило инфицирование компьютеров.

    По данному факту следователи полиции Львовской области начали уголовное производство по ч. 2 ст. 361 (Несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи) и ч. 1 ст. 361-1 (Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт) УК Украины.

    «Специалисты по киберполиции провели анализ вредоносного программного обеспечения. Установлено, что вирус оказывает полный удаленный доступ к подконтрольных компьютеров. В частности — возможность загружать и отгружать файлы, управлять автозагрузкой и службами, удаленно управлять реестром, устанавливать и удалять программы, делать скриншоты с удаленного экрана, перехватывать звук с микрофона и видео со встроенных или внешних камер. Кроме того, вирус DarkComet имеет кейлоггер (мониторинг нажатых клавиш), монитор буфера обмена, целый набор утилит для работы с сетью, а также предоставлял возможность злоумышленнику удаленно выключать и перезагружать пораженный компьютер. Программа использует бэк-коннект, то есть сама инициирует соединение с управляющей машиной», — говорится в сообщении.

    По месту жительства 42-летнего злоумышленника полицейские провели обыск. Во время него были изъяты ноутбук, зараженный вредоносным программным обеспечением, и стационарный компьютер. Во время предварительного осмотра техники, на компьютере хакера специалисты из киберполиции виявлилы админ-панель доступа к зараженным компьютерам вредоносным программным обеспечением, его установочные файлы, снимки экрана из подконтрольных компьютеров. Изъятую технику направлено на проведение компьютерно-технической экспертизы.

    Как проверить, есть ли этот вирус на вашем компьютере

    Необходимо открыть командную строку: зажать клавишу «Windows» на клавиатуре, затем клавишу «R». Запустится окно «выполнить», в котором наберите «cmd» и нажмите ENTER или кнопку OK.

    Далее, в открытом командной строке введите команду «netstat -nao» и нажмите кнопку ENTER. Вы увидите список соединений, среди которых вам нужно найти соединение с хостом 193.53.83.233 и портом 1604 или 81.

    Если вы найдете соединение с указанным IР адресом — рекомендуем связаться с Киберполицией.

    Кроме того, при использовании компьютеров будьте осмотрительными и выполняйте простейшие правила информационной безопасности:

    — не работайте и не запускайте программы под учетной записью администратора системы;

    — откажитесь от программного обеспечения или его обновления, которое требует добавления в «список исключения» систем защиты компьютера;

    Читайте также:  Как избавиться от паранойи забеременеть

    — обновите антивирусное программное обеспечение и запустите полное сканирование системы и внешних носителей информации, внимательно относиться к предупреждениям антивирусного программного обеспечения и систематически его обновлять;

    — в случае получения тревоги от системы защиты компьютера (антивируса, фаервола и т.п.) не препятствуйте действиям по умолчанию антивируса (блокировка, удаление, карантин и т.д.). Помните: опровергнуть опасность, о которой сообщил антивирус, может только квалифицированный специалист по информационной безопасности;

    — отключите автоматические обновления и в ручном режиме обновлять программное обеспечение и дополнительно проверяйте его на авторитетных ресурсах, предназначенных для анализа подозрительных файлов, например:

    Источник

    Храм Абдулонауки

    Старый храм, средоточение мудрости и чудес, ныне сгинувшей в пучине тупости и невежества — Абдуловеры. Силами ученых, все еще преданных идеям этого эзотерического кладезя отвергнутых знаний, блог будет хранить память и продолжать нести свет и добро в мир. На данный момент является одним из старейших ресурсов, посвященных Абдуловере.

    Архив

    Как полностью удалить DarkComet?

    Дальше идем в автозагрузку, нажимаем Win+R или Пуск->Выполнить или еще проще через Диспетчер задач ->Файл ->Новая задача

    Выскочит вот такое окошко и вбиваем команду и нажимаем Ok

    У нас есть 12 вариантов куда может скопироваться вирус. И есть два пути, как его удалить: 1 легкий, 2 нет.

    Легкий:
    Если вы более-мение понимаете, какие программы нужны, а какие нет, то вам этот способ подходит. смотрим на подозрительные программы которые добавляются в автозагрузку, у меня была svmhost.exe (пародия на системный настоящий svchost.exe и не с русской буквой с), запомните не будет добавляться в автозагрузку! Так что это вирус у меня был! У нас есть шанс посмотреть куда он прячется. просто смотрим в поле команда.

    Ну и снимаем галочку с вируса, нажимаем Ок.

    Открываем проводник и пишем путь расположения вируса(в автозагрузке это пункт команды), воа-ля мы его нашли, у меня нет возможности его показать, но он будет находится в папке, название которой указывалось при сборке вируса.

    Q: А как я узнаю какая папка, я же не создавал вирус? A: Она просто будет подозрительной. Если у вас есть сомнения, то киньте скриншот где находится подозрительная папка.

    Удаляем ее, что бы больше уверится что это вирус, то заходим в папку и смотрим на вес файле он будет от 300кб до 1,5 мб.

    Сложный:
    Лазим по всем возможным папкам куда мог скопироваться вирус. Находим и обезвреживаем, как и в легком способе.

    Перезагружаем компьютер и радуемся жизни!

    Только делаем все наоборот — скрываем системные папки, а скрытые можно оставить, данная функция может пригодится.

    Самый легкий способ — это скачать официальную утилиту по удалению DarkComet.

    Всем спасибо за внимание! Особое спасибо человеку, который написал данную статью и автором которой он и является, это vladyxa13 с форума HPC. Анша Абдуль братья!

    Источник

    Оцените статью
    Избавляемся от вредителей
    © 2024 Избавляемся от вредителей