Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 8 Окт 2022
- Сообщения
- 10
- Реакции
- 0
Эх придётся ещё одно говно отпинать ногами.
Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))
Вот примерно что делает при запуске
Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app
Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(
Вот примерный гайд удалить этот вирус возможно сработает
1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен
2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем
3. Заходим в Windows Defender и удаляем из исключений все исключения
4. Меняем везде пароли пока не поздно и привязываем получше
Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно
Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....
ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)
TRIA.GE (NOAD) -
Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))
Вот примерно что делает при запуске
Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app
Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(
Вот примерный гайд удалить этот вирус возможно сработает
1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен
2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем
3. Заходим в Windows Defender и удаляем из исключений все исключения
4. Меняем везде пароли пока не поздно и привязываем получше
Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно
Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....
ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)
VT -
Пожалуйста, авторизуйтесь для просмотра ссылки.
TRIA.GE (NOAD) -
Пожалуйста, авторизуйтесь для просмотра ссылки.
