Обсуждаем Dream Rust | Stealer в UPDATER.exe???

[Amongasik]

Эх придётся ещё одно говно отпинать ногами.

Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))

Вот примерно что делает при запуске

Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app

Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(

Вот примерный гайд удалить этот вирус возможно сработает

1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен

2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем

3. Заходим в Windows Defender и удаляем из исключений все исключения

4. Меняем везде пароли пока не поздно и привязываем получше


Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно

Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....

ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)

Эх придётся ещё одно говно отпинать ногами.

Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))

Вот примерно что делает при запуске

Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app

Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(

Вот примерный гайд удалить этот вирус возможно сработает

1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен

2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем

3. Заходим в Windows Defender и удаляем из исключений все исключения

4. Меняем везде пароли пока не поздно и привязываем получше


Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно

Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....

ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)

VT -

Пожалуйста, авторизуйтесь для просмотра ссылки.

TRIA.GE (NOAD) -

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[Amongasik]

апрувните пазязя

 

[lavcult]

Эх придётся ещё одно говно отпинать ногами.

Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))

Вот примерно что делает при запуске

Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app

Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(

Вот примерный гайд удалить этот вирус возможно сработает

1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен

2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем

3. Заходим в Windows Defender и удаляем из исключений все исключения

4. Меняем везде пароли пока не поздно и привязываем получше


Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно

Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....

ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)

VT -

Пожалуйста, авторизуйтесь для просмотра ссылки.

TRIA.GE (NOAD) -

Пожалуйста, авторизуйтесь для просмотра ссылки.

nice

 

[glovrod]

Сносить винду от стиллера?
Смешные у тебя темы чувак

 

[sippingfanta]

Сносить винду от стиллера?
Смешные у тебя темы чувак

так то он прав, реинсталл точно лишним не будет

 

[dfdfddddddd]

РеверZинг... молодец пацан... продвигайся в этой теме

 

[dfdfddddddd]

Сносить винду от стиллера?
Смешные у тебя темы чувак

ну для большей безопасности конечно да, если он в автозагрузку ложится и не хочешь что бы по кд с твоего дс рассылали рекламу казино.

 

[Blueprint]

запустил я, не стиллер тк как браузер не закрылся для стилла microsoft edge ну или они его упустили, закинул в detect it easy там увидел классы на .py 1 остальные .gs сам он c++ содержит внутри себя C# через днспай неработает тк как c# внутри c++ , в тепме ничего ненашел, через хорошую программу simpleunlocker посмотрел все автозагрузки и они пустые, касперский жаловался на то что он создает в папке виндовс explorer.exe мне кажется он его как то пересоздает но нету черного экрана при открытии, чекнул дату експлорера - 2024 года что нормально хоть и винда была установлена в 26 тк другие файлы тоже такие системные.А теперь интересное - D:\\a\\_work\\1\\s\\src\\coreclr\\jit\\hwintrinsiccodegenxarch.cpp как я понял создается диск на пару секунд где компилируется какаята хрень, и еще путь D:\\a\\_work\\1\\s\\src\\coreclr\\jit\\codegenxarch.cpp.Но еще это похоже на логи исходного кода на компьютере создателя, может это бред или нет, я незнаю это догадки.Рядом я увидел Compiled %d methods that meet the filter requirement.\n Compiled %d bytecodes total (%8.2f avg).\n что полностью подтверждает что оно создает второй диск с компиляцией по сути.Но если на пк нет компилятора, к чему файлу вес 66 мегабайтов??? в том же sunfirerust апдейтер весом в 2 мегабайта, и да в этом апдейтера на дрим расте есть файлы obfuscation.gs.И оно использует (Heur)Packer: Packer detected[Strange overlay].Итог - не советую скачивать, а если скачали то на удачу вашу, может что то сделает с вами и данными, а может и нет -_-